There was a scripting error on this page. While it is being addressed by site editors, you can view partial content below.

Om aanmeldingvorms deur HTTP te bedien is veral gevaarlik as gevolg van die weie verskeidenheid van aanvalle wat teen hulle gebruik kan word om 'n gebruiker se wagwoord te ontgin. Netwerk afluisteraars kan 'n gebruiker se wagwoord steel deur die netwerk deur te snuif, of deur die bladsy wat bedien word te onderweg te wysig. Die bladsy gee die details van die sekuriteitsmeganismes wat Firefox in plek gesit het om gebruikers en ontwikkelaars te waarsku teen die die risko's omtrent onbeveiligde wagwoorde en wagwoord diefstal.

Die HTTPS protokol is ontwerp om gebruikersdata te beskerm teen afluistering (vertroulik) teen wysiging (intergriteit) op die netwerk. Webwerwe wat gebruikersdata hanteer behoort HTTPS te gebruik om hulle gebruikers teen aanvallers te beskerm. Indien 'n webwerf HTTP gebruik in plaas van HTTPS, is dit algemeen dat gebruikersdata gesteel word (soos bv. mense se aanmeldingbesonderhede). Dié was gewildelik gedemonstreer deur Firesheep.

Om hierdie probleem te herstel moet u 'n SSL/TLS sertifikaat op u bediener installeer en konfigureer. Daar is verskeie verkopers wat gratis en betaalde sertifikate aanbied. Indien u 'n wolkplatform gebruik, sal hulle dalk hul eie maniere hê om HTTPS in staat te stel.

Firefox Wagwoord sekuriteitindikators

Om u in te lig oor die bedreiging wat bolangs beskryf is, implementeer Firefox baie waarskuwingsmeganismes:

  1. Firefox 51+ sal 'n slotikoon met 'n rooi strep bo-oor vertoon in die adresbalk as 'n aanmeldingsblad nie 'n beveiligde konneksie het nie, soos onderaan gesien kan word.

    Lock Icon

  2. Firefox 52+ sal 'n duidelike waarskuwing in die bronadresbalk vertoon en onderaan 'n gefokusde wagwoordarea binne in 'n onbeveiligde vorm:

    Warning

  3. Firefox 52+ het ook outomatiese invulling afgeskakel vir onbeveiligde aanmeldingvorms. Gebruikers kan nogsteeds gestoorde aanmeldings handmatig outomaties invul van die afsak-kieslys af.

  4. Waarskuwings oor onbeveiligde aanmeldingvorms kan ook gevind word op die sekuriteitspaneel van die ontwikkelaarskonsole in alle Firefox weergawes, soos beskryf word in die volgende afdeling.

Webkonsole Boodskappe

Hierdie afdeling verduidelik die sekuriteitsboodskappe wat vertoon word in die ontwikkelaarskonsole van die Firefox Onwikkelaarsgereedskap, in antwoord op onbeveiligde wagwoorde.

Om die aanmeldingvorm te bedien deur HTTP

Selfs al is die vorm aksie 'n HTTPS adresbron, is die gebruiker se aanmeldingsbesonderhede nie veilig nie omdat 'n aanvaller die bladsy kan wysig wat deur die gebruiker ontvang word (aanvallers kan bv. die besteming van die vorm verander om die sensitiewe inligting te stuur na 'n bediener wat hy beheer, of hulle kan 'n sleutelaanslag script ['n program wat sleutelbord seine opneem] wat die gebruiker se wagwoord uitwis terwyl hy dit tik). Die sekuriteitsoortjie van die Webkonsole sal ontwikkelaars en gebruikers waarsku omtrent die probleem:

Insecure login form shown with the Web Console and contextual warning on the password field.

Neem kennis: Dit is oo nie veilig om 'n HTTPS aansluitingsblad in 'n HTTP dokument te verberg nie — 'n aanvaller kan die raamwerkbron verander om te verwys na 'n skadelike webblad.

Om 'n HTTP  bronadres te gebruik in die vormaksie

In dié geval sal enige data wat die gebruiker intik gestuur word deur die netwerk as gewone skrif. Die gebruiker se wagwoord is duidelik sigbaar vir enigiemand wat die netwerk deursnuif van die oomblik af wat die wagwoord die gebruiker se rekenaar verlaat tot die oomblik toe dat dit jou webwerf se bedieners bereik.

Insecure login form action shown with the Web Console and contextual warning on the password field.

Kennisgewing op die hergebruik van wagwoorde

Sometyds vereis webwerwe pseudoname en wagwoorde, maar stoor nie letterlik data wat baie sensitief is nie. 'n Nuuswerf sal dalk die gebruiker se keuses stoor omtrent watter nuusartikels hy weer na wil teruggaan en lees, maar sal nie enige ander data omtrent die gebruiker stoor nie. Webontwikkelaars van die nuuswerf sal dus dalk minder gemotiveerd wees om hull werf te beveilig sowel as hulle gebruikersbesonderhede.

Ongelukkig is die hergebruik van wagwoorde is 'n groot probleem. Gebruikers gebruik die selfde wagwoord op baie verskillende werwe (nuus webwerwe, sosiale netwerke, e-pos netwerke, banke). Daarom, al lyk die toegang tot die wagwoord en pseudonaam van u webwerf nie na 'n groot risiko vir u nie, is dit 'n groot risiko vir gebruikers wat die selfde pseudonaam en wagwoord gebruik het om aan te meld aan hulle bankrekeninge. Aanvallers word slimmer; hulle steel die pseudonaam/wagwoord pare van een van werf af, en probeer dan hulle gebruik op meer winsgewende werwe.

Sien ook

{{ VinnigeSkakelsMetSubpaginas }}

Document Tags and Contributors

Contributors to this page: GearFox27
Last updated by: GearFox27,