Pregunta Clave de texto sin formato sobre HTTPS


Actualmente estoy trabajando en un proveedor PHP OpenID que funcionará a través de HTTPS (por lo tanto, SSL encriptado).
Lo es incorrecto para que transmita la contraseña como texto sin formato? En teoría, HTTPS no puede ser interceptado, así que no veo nada malo. ¿O es inseguro en algún nivel y no estoy viendo esto?


64
2018-06-07 16:08


origen


Respuestas:


Es seguro. Así es como funciona toda la web. Todas las contraseñas en los formularios se envían siempre en texto sin formato, por lo que es hasta HTTPS para protegerlo.


88
2018-06-07 16:11



Aún debe asegurarse de enviarlo mediante solicitud POST, no OBTENER. Si lo envía a través de la solicitud GET, podría guardarse en texto sin formato en los registros del historial del navegador del usuario o en los registros de acceso del servidor web.


53
2018-06-07 16:31



Si HTTP está deshabilitado, y tú solamente usa HTTPS, entonces realmente no estás transmitiendo la contraseña como texto sin formato de todos modos.


19
2018-06-07 16:11



Los otros carteles son correctos. Ahora que está usando SSL para encriptar el transmisión de la contraseña, asegúrate de que has hashing con un buen algoritmo y sal para que esté protegida cuando es en reposo, también...


5
2018-06-07 16:36



Hash lado del cliente. ¿Por qué? Déjame contarte sobre un pequeño experimento. Camina hacia la computadora en la cafetería de la empresa. Abre el navegador para acceder a la página de inicio de sesión del sitio web de la empresa (https). Presione F12, haga clic en la pestaña de red, marque el registro de persistencia, minimice la consola pero deje la página web abierta en la página de inicio de sesión. Siéntate y almuerza. Mire como un empleado después de que el empleado inicie sesión en el sitio web de la compañía y, al terminar, un buen trabajador pequeño se desconecte. Termine el almuerzo, siéntese en la computadora, abra la pestaña de red y vea cada nombre de usuario y contraseña en texto plano en forma de cuerpos.

Sin herramientas especiales, sin conocimientos especiales, sin hardware de piratería elegante, sin keyloggers simplemente bueno viejo F12.

Pero, oye, sigue pensando que todo lo que necesitas es SSL. Los malos te amarán por eso.


4
2017-07-21 08:11