InsecurePasswords

不安全的密码信息处理页面
 
 HTTPS协议 被设计用以保护用户数据,防止数据在网络中被窃取(数据泄露)或被改变(破坏完整性).需要处理用户信息的网站应该使用HTTPS来保护用户使之免受黑客的攻击. 没用HTTPS,要盗取用户信息(如登录凭证)是轻而易举的.这已被 Firesheep 充分证明了.
 
不安全的登录表单是尤其危险的,因为它面临着众多,各种各样的网络攻击.网络窃听者能通过网络嗅探直接盗取用户的登录验证信息.窃听者同样能通过修改目标页从而进行各种攻击.
 
若页面要请求密码,例如包含登录表单的页面,却建立在不安全的连接上,火狐网页控制台中的安全面板将会警告开发者.网页开发者在许多的情况下将保障不了用户的登录安全:
 
1. 在HTTP之上运行登录表单. 即使表单的action对象是HTTPS链接,用户的登录表单信息也会受到威胁,因为攻击者能够通过用户修改用户接收到的页面(例如,攻击者插入键盘记录脚本来盗取用户输入的密码.他们还能改变表单目的页从而将敏感信息传递到受他们控制的服务器).这是一个屏幕截图,显示的是网页控制器的安全面板中对这个问题的警告以及相关的警告信息:
 
Login Fields on an Insecure Page
 
2.在表单的action链接中使用HTTP链接.在这种情况下,用户输入的任何信息都将以明文方式通过网络传递.这样,从密码离开用户的电脑到密码到达服务器过程中,用户的密码将清楚地展现在任何嗅探用户网络的人眼前.这是另一个截图,展现的是网页表单源代码以及相关的警告信息:
Login fields on a form with an http:// action
 
3.在网页iframe中递交登录表单(或是嵌入在HTTP frame中的HTTPS frame).即使最上层页面是HTTPS,但在HTTP iframe中包含密码域和在HTTP页面中包含密码域是没有区别的.攻击者同样能够修改这个页面以及偷取用户信息.
Login fields on an http:// iframe
 
有时网页需要用户名及密码,但实际上却没有存储这些敏感的信息.例如,一个新闻页面可能存储一个用户想要再次阅读的文章,却没有存储任何关于这位用户的其他信息.这个新闻站点的网页开发者可能没有动力去对于提高他的网站的安全性以及保护他们用户的信息.不幸的是,密码重用也是一个大问题.用户可能在不同的站点使用相同的密码(新闻网页,社交网络,电子邮箱及其银行).因此即使通过用户名及密码登陆你的网页对你来说不是很大的问题,对于重复使用相同用户名及密码来登陆他们银行账户的用户来说却是一个极大的威胁.网络攻击者正变得越来越聪明.他们在一个网站同时盗取用户名及密码然后在另一个可能能给他们带来金钱的网站上使用这些密码.
 
 

文档标签和贡献者

 此页面的贡献者: 9126888, waikei, mixupup
 最后编辑者: 9126888,