Att betjäna inloggningsformulär genom HTTP är särskilt farligt på grund av det stora utbudet av attacker som kan användas mot dem för att extrahera en användares lösenord. Nätverkstjuvlyssnare skulle kunna stjäla en användares lösenord genom att sniffa nätverket, eller genom att ändra den betjänade sidan i genomresa. Denna sida detaljerar säkerhetsmekanismen som Firefox har infört för att varna användare och utvecklare om risker angående osäkra lösenord och lösenordsstöld.

HTTPS-protokollen är designad för att försvara användardata från tjuvlyssnare (konfidentialitet) och från ändring (integritet) på nätverket. Webbsidor som hanterar användardata borde använda HTTPS för att försvara deras användare från attackerare. Om en webbsida använder HTTP istället för HTTPS, så är det trivialt att stjäla användarinformation (såsom deras inloggningskreditiv). Detta var känt demonstrerat av Firesheep.

För att åtgärda denna problem, installera och konfiguera en SSL/TLS cerifikat till din server. Det finns flera säljare som erbjuder gratis och köpta certifikat. Om du använder en molnplattform, så kan de ha deras egna sätt av att göra HTTPS möjligt.

Firefox lösenordssäkerhetsindikatorer

För att informera dig om hotet som är beskrivet ovan, genomför Firefox många varningsmekanismer:

  1. Firefox 51+ kommer att visa en låsikon med en röd strykt linje i adressfältet när en inloggningsida inte har en säker anslutning, som visas nedan.
     

    Lock Icon

  2. Firefox 52+ kommer att visa en tydlig varning i URL-fältet och under en fokuserad lösenordsfält i vilken osäker formulär som helst.
     

    Warning

  3. Firefox 52+ har också inaktiverat autofyll för osäkra inloggningsformulär. Användare kan fortfarande manuellt autofullborda sparade inloggningar från nedfallslistan.
  4. Varningar om osäkra inloggningsformulär kan också hittas i säkerhetspanelen av utvecklarkonsolen i alla Firefox utsläppningar, som är beskrivet i nästa sektion.

Webbkonsolsmeddelanden

Denna sektion beskriver säkerhetsmeddelanden som är visade i utvecklarkonsolen av Firefox DevTools, i respons till osäkra lösenord.

Att betjäna inloggningsformulären genom HTTP

Även om formulärshandlingen är en HTTPS URL, så är användarens inloggningsformulär inte försvarad på grund av att en attackerare kan ändra sidan som är mottagen av användaren (till exempel, attackerare kan ändra formulärsdestinationen för att posta den känsliga datan över till en server som de kontrollerar, eller så kan de föra in en nyckelloggningsmanus som slår till deras lösenord medans de skriver den). Säkerhetsfliken av webbkonsolen kommer att varna utvecklare och användare om säkerhetsproblemet.

Insecure login form shown with the Web Console and contextual warning on the password field.

Not: Det är också inte säkert att bädda in en HTTPS inloggningssida i ett HTTP dokument — en attackerare skulle kunna ändra rut-URL:en till att peka mot en illvillig sida.

Att använda en HTTP URL i formulärshandlingen

I detta fall, vilken data som helst som användaren skriver in är skickat genom nätverket i form av enkel text.

Insecure login form action shown with the Web Console and contextual warning on the password field.

Not om lösenordsåteranvändning

Ibland kräver webbplatser användarnamn och lösenord, men faktiskt inte lagrar data som är väldigt känsliga. Till exempel, en nyhetssajt kan spara vilka artiklar en användare vill gå tillbaks till och läsa, men sparar inte något annat data om användaren. Webbutvecklare av nyhetssajter kan vara mindre motiverade till att säkra deras sajter och deras användarkreditiv.

Tyvärr, lösenordsåteranvändning är ett stort problem. Användare använder samma lösenord på flera sajter (nyhetswebbplatser, sociala nätverk, e-postsleverantörer, banker). Därför, även om tillträde till användarnamnet och lösenordet till din sajt inte verkar som en enorm risk till dig, så är det en stor risk till användare som har använt samma användarnamn och lösenord för att logga in på deras bankkonton. Attackerare blir smartare; de stjäl par användarnamn/lösenord från en sajt, och sedan försöker att återanvända dem på mer lukrativa sajter.

Se även

Dokumenttaggar och bidragare

 Bidragare till denna sida: ScorpionHH
 Senast uppdaterad av: ScorpionHH,