为什么在网页上保存登录密码容易泄露

Other 2014-07-16 安全,密码,表单,破解,Activex

最近出差比较勤,好些天没有更新博客了,觉得有好多东西没有及时记录下来,所以趁夜晚空闲时间补写一些之前想写却又没有来得及写的博文。

此次说的是又关于网页登陆时保存的密码有可能被泄露的安全问题,这个问题的由来是一个网友发email问我为何有些站点密码登陆框是要安装插件才能输入引起的。

其实,如果你做的项目是安全性要求不高的,在设计表单的时候最常使用的密码输入框就是password类型了,html也仅此方式,无处不在。但这种普通的方式有什么安全隐患呢?这隐患在高级浏览器是非常容易暴露的,看看例子:

这是我用chrome访问的支付宝登陆界面,正常情况下,密码输入框是星号的,如果我要查看里面的内容,只需要调出调试工具把input的type改成text

密码框里的星号即刻变成明文了,所以如果有些站点有密码记录功能的话,当你下次登录站点就会发现密码用户名已经自动帮你填写好了,于是通过以上的例子就能查看任何表单里的密码域,这是非常容易的,因为浏览器都自带调试工具,即便firefox自带的不是firebug那也不成问题。来看看cnzz的例子:

图片中的登录框就带了非常常见的记住用户名密码这个功能,你勾选后它会在cookie里自动记录下来(密码值不一定存储在本地),但表单初始化的时候你的密码一定会自动填写好了,所以通过工具修改password类型就能查看星号里的密码。

那么哪些站点应该注意防范呢?反正你认为重要的站点,就不应该自动记录密码功能,特别是公用电脑。也尽量少使用自动记录功能,因为有可能你的账号密码被拿到以后,它会去一些其它网站去试试,有的人比较简单一点,真有可能所有银行卡,支付宝,淘宝都用同一个密码。除了这些以外,安全要求比较高的站点通常都会用插件替代密码输入框,比如银行你就需要安装密码输入框插件,比如支付宝再IE下就会激活Activex控件。

目前绝大多数的站点都是通过控件来达到安全目的,随着主流浏览器的崛起,Activex不在唯一。控件更多内容,有机会再补写,感兴趣的朋友可以去找找这方面的内容试一试。

文字链接:《为什么在网页上保存登录密码容易泄露

文章地址:http://www.qttc.net/201407442.html

除非标注,琼台博客所有博文均为原创,转载请加文字链接注明来源

乳名?小名?昵称?网名?均可

email,放心,我不会给你乱投广告的

想获得回访就把你的站点URL写上(没有留空)

[NOTICE]木要投放广告
[NOTICE]木要骂人,说不该说的话
[NOTICE]自由言论,但要遵纪守法

Comments 5

  • BLOG不错,支持一下
    2014-08-06 15:27:57 [ 跟帖 ]
    感谢支持!你的blog很酷,css写多久了?
    2014-08-10 10:32:05 [ 跟帖 ]
    抽出了自己UI中的几个组件. UI组件全部是3千行左右的CSS. 其中只是针对标签的一些样式, 没有布局和排版. 慢慢写. 每天写一点. 哈哈
    2014-08-10 10:35:07 [ 跟帖 ]
    有nodejs的范儿,呵呵。常交流
    2014-08-10 10:36:46 [ 跟帖 ]
    1 #
  • 现在才知道的。之前以为公司的电脑应该没事的 www.38hzt.com
    2014-07-28 16:04:15 [ 跟帖 ]
    2 #