MDN wants to learn about developers like you: https://qsurvey.mozilla.com/s3/MDN-dev-survey

提供 HTTP 的登入表單非常危險,因為目前有很多已知的用戶密碼擷取手法。竊聽者可以透過側錄該網路或修改傳輸頁面進行大量的惡意攻擊,並直接竊取用戶憑證或密碼。本頁將詳細說明 Firefox 提醒用戶與開發者此風險的安全機制。

HTTPS 通訊協定,旨在保護用戶的資料於傳輸時,不遭竊聽與竄改,並保護其機密性與原始完整性。負責處理用戶資料的網站應使用 HTTPS 保護其用戶不受惡意駭客攻擊。如果沒有使用 HTTPS,竊取諸如登入憑證之類的用戶資訊是小事一樁。著名的 Firesheep 附加套件曾示範過此種攻擊方式。

要處理這個問題,請安裝並設定網站伺服器的 SSL/TLS 憑證。目前有許多免費與付費的憑證供應商。如果是使用雲端,雲端服務商可能提供了啟動 HTTPS 的方法。

Firefox 密碼安全性指標

為提醒上述風險,Firefox 實做了許多警告機制:

  1. Firefox 51 以後會在網址列的左方顯示一個紅色劃叉的鎖頭警告標示,如下圖所示。

    https://people.mozilla.org/~tvyas/insecure_password_images/insecure-password-security-ui.jpg

  2. Firefox 52 以後會在任何不安全表單的 URL 欄位與密碼區域清楚呈現警告:

    pw.jpg

  3. Firefox 52 以後還會禁止在不安全表單自動填入密碼。用戶依舊可以藉由下拉列表,填入已存登錄的資訊。

  4. 不安全表單的警告,也能從所有 Firefox 發行的開發者主控台之安全窗格找到。詳請參見下節敘述。

網頁主控台訊息

This section describes the security messages displayed in the developer console of the Firefox DevTools, in response to insecure passwords.

透過 HTTP 提供登入表單

即使表單是傳送到 HTTPS 網址,用戶的登入表單仍未被保護,因為攻擊者可以修改用戶接收到的頁面。例如,攻擊者可插入鍵盤側錄腳本,導致用戶輸入的資料外洩,或變更表單目的地為攻擊者控制的伺服器。網路主控台的安全面板會警告開發者及用戶,並標示這項安全性問題。

不安全頁面上的登入欄位

Note: It's also not secure to embed an HTTPS login page in an HTTP document — an attacker could change the frame URL to point to a malicious site.

在表單行為中使用 HTTP 網址

在這種情況下,任何用戶輸入的資料都以明文傳送。對於任何側錄該網路的人,從資料送出到抵達網頁伺服器,用戶密碼都清楚可見。

使用 http:// 行為的登入欄位

重複使用相同密碼

網站有時會需要用戶名稱與密碼,但並不實際儲存敏感資料。例如,新聞網站可能會儲存用戶想要再次閱覽的文章,但不會儲存其它用戶資料。上述範例的網頁開發者可能較無動機保護他們的網站與用戶憑證。

不幸的是,重複使用相同密碼是非常危險的。用戶在多個網站皆使用相同密碼(如新聞網站、社群網站、電子信箱等)。因此,即使非法存取貴網站的用戶名稱與密碼並不對您構成嚴重問題,對於在不同網站(如網路銀行)使用相同名稱與密碼的用戶而言,卻會造成嚴重威脅。攻擊者愈來愈聰明,他們會從一個網站竊取用戶名稱與密碼的配對,並在更有利可圖的網站上重複嘗試。

參見

文件標籤與貢獻者

 此頁面的貢獻者: iigmir, jwhitlock, BaseChipmunk4
 最近更新: iigmir,