Question

Многие сайты в настоящее время используют AJAX, чтобы позволить пользователям войти в систему.

Однако есть (я думаю) огромный недостаток безопасности с этим дизайном.

Если вход в систему не удался, имя пользователя / пароль былииспользуется в запросе к серверу.

Если по какой-то причине пользователь заходит на AFK, злоумышленник может просмотреть запрос, который был сделан пользователем (firebug / devtools).

Это правильно?

Есть ли что-то, что мы можем с этим сделать (не думаю)?

ThiefMaster · Answer 1 · 15 августа 2011

Firebug регистрирует запросы, только если он активен во время запроса.Кроме того, он регистрирует как обычные POST, так и AJAX POST (то же самое для GET, но использование этого для входа в систему все равно задерживается, поскольку это приведет к тому, что пароли будут записываться в файлы журнала в виде простого текста).

Так что нетразница.Кроме того, злоумышленник может просто установить кейлоггер, если реальный пользователь достаточно глуп, чтобы не блокировать свой компьютер ...

О, и если учетные данные были полностью недействительными (не только при опечатке), это не имеет значениявообще ...

maple_shaft · Answer 2 · 15 августа 2011

В этой же заметке, даже если Firebug не был установлен, который должен сказать, что кто-то не установил перехватчик пакетов или кейлоггер для захвата попыток входа в систему.

Я не хочу вас параноидальноно это гораздо более простые способы кражи пароля, чем метод, который вы описали, и с этим ничего не поделаешь.

На уровне ответственности программное обеспечение не может нести ответственность за такого родаНарушения физической безопасности.Местные ИТ-администраторы или специалисты по безопасности несут ответственность за принятие политик, предотвращающих такие случаи.

Ed Heal · Answer 3 · 15 августа 2011

Конечно, если учетные данные неверны (поскольку вход в систему не выполнен), имеет ли значение, если какой-то другой пользователь использует devtools для пользователя, который не выключил firefox и т. Д.?

Ed Heal · Answer 4 · 15 августа 2011

Полагаю, это может быть правдой. Возможно, после отправки запроса AJAX Javascript должен стереть детали при сбое или сразу после отправки деталей.

Ошибка безопасности при входе в систему AJAX

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Ошибка безопасности при входе в систему AJAX

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 4 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов