В большинстве случаев веб-сайты, которым требуются пароли, отправленные в форме, используют HTTPS для шифрования отправленных данных (включая имя пользователя и пароль) для резервного копирования на сервер (если сайт не использует SSL, тогдапароль будет отправлен открытым текстом).
Редактировать: Согласно вики , SSL / TLS работает на уровне представления OSI, хотя это Статья SSL указывает, что SSL находится на прикладном уровне TCP.AFAIK https - это просто http, работающий поверх SSL-соединения.
Согласно сообщению @ John, традиционный способ отправки паролей заключается в предоставлении пользователю формы с именем пользователя и паролем.(Полная ссылка здесь )
<form name="input" action="https://somesite/login.asp" method="post">
Username: <input type="text" name="user" />
Password: <input type="password" name="password" />
<input type="submit" value="Submit" />
</form>
Эти данные формы будут отправлены обратно на сервер, который затем должен проверить ввод перед проверкой аутентификации имени пользователя и пароля (обычно путем передачи одного илиоба поля через односторонний хеш, чтобы гарантировать, что пароли не хранятся в виде открытого текста в базе данных).
С точки зрения безопасности
- Хотя браузер будет «показывать» звездочкипри управлении паролем браузер все еще знает пароль открытого текста.
- Безопасный метод форм должен быть POST (method = GET появится в строке запроса)
- Сама страница формы должна была бытьобслуживается через https (поскольку в дополнение к шифрованию браузер проверяет сертификат сервера по домену, для истечения срока действия, для самой цепочки сертификации)
- , а само действие формы должно использовать https: // url, чтобыубедитесь, что имя пользователя и пароль зашифрованы при передаче на сервер.
Одной из концепций, которые необходимо принять, является причина, по которой браузер не «хэширует» или иным образом выполняет некоторую проверку подлинности на «стороне клиента» соединения, потому что сервер долженникогда не доверяйте браузеру / удаленному компьютеру - удаленный клиент должен отправить исходный полный пароль.
Re: Можно ли взломать пароль?
Обычные атаки
- Keylogging - программное обеспечение, которое регистрирует нажатия клавиш пользователя, включая имена пользователей и пароли
- Фишинг - злоумышленник представляет пользователю страницу входа на сайт, которая выглядит как целевая страница входа, пользователь может быть введен в заблуждение при наборе текстаимя пользователя и пароль.Если сконфигурированный пользователем файл DNS или LMHosts скомпрометирован, то URL-адрес входа в систему может быть сделан подлинным, даже если он обслуживается фишинговым сервером злоумышленника.
- XSS-атака (например, если на странице входа отображается неподтвержденный пользователькомментарии на той же странице) позволят злоумышленнику внедрить javascript, чтобы подключить любое количество событий на странице для получения имен пользователей и паролей
- При слабой проверке клиента и некоторой информации о структуре сервера, SQL-инъекцияАтаки могут быть использованы либо для полного обхода входа в систему, чтения данных из базы данных сервера (например, получения всех пользователей и паролей, если они хранятся в виде открытого текста), либо для повреждения или удаления данных на сервере (но это атакует сервер, а не браузер)