Yoo趣儿

Yoo趣儿 Geek 程序员 请 [吸词] 的作者出来解释一下密码明文传输的问题 ...

请 [吸词] 的作者出来解释一下密码明文传输的问题

查看 99|回复 10
作者:rambo92   
今天忽然发现所有的网站的请求里都有一个固定的 url 请求:POST https://jnexswpfgysrqlagwajs.supabase.co/auth/v1/token?grant_type=password
Request Body 携带了一个我常用的用户名和密码,而密码居然是明文的!!!
这让我很是震惊,密码泄露了???
于是开始排查:
1. 打开无痕模式:随便打开个网站,没发现这个请求,于是确定跟插件有关;
2. 关闭所有插件,一个一个打开,最后定位到 [吸词]
原因找到了,那么这个是为什么呢?
1. 为什么密码要明文传输?
2. 为什么所有网站的请求都会发这个请求?插件干啥了?
https://cnnbrba5g6haaugeu530.baseapi.memfiredb.com/storage/v1/object/public/images/public/1.png
FTLIKON   
其实密码明文传输还挺常见的,GitHub 的注册登录就是明文传输密码
YogiLiu   
明文传输其实很常见,和是否泄漏没啥必然联系,加上协议用的是 HTTPS ,基本上没什么关系;我比较好奇第二个问题。
意思是这个插件会把你在每个网站的帐号传输到某个 URL ?如果是这样,那这不就是木马吗?
如果你想表达的是这个插件每到一个新的网站就会把你的「吸词」账户信息发给这个 URL ,那我觉得可能是作者比较懒,不想做 Token 认证,当然这样把用户密码明文持久化在浏览器相对来说是不安全的。
javalaw2010   
不考虑这个请求本身的合理性。我也不认为基于 https 的密码明文传输有什么问题。
povsister   
https 的 body 明文不是问题,密码编码更多时候是为了避免奇怪的字符导致问题。
我更关心它为什么带你的密码,这个插件要登陆?你注册了账号?
你账号密码多个平台通用一套?
grit136907108   
> 回复上面的
安装了这个插件试了下,每打开个网站都会请求这个插件的登录接口,不是说会把你其他的账号密码带进去
zero47   
确保是 Https 其实没什么问题,当然你要是投诉他确实可以让他下架整改,因为相关法律法规对这方面还是有要求的
Jirajine   
> 为什么密码要明文传输?
因为太多人认为密码明文传输不是问题。如果你不为这些人开发的服务使用密码管理器生成全随机的专用密码,那你就是受害者。
YogiLiu   
其实我能想到密码编码后传输还有一个场景,现在很多大型 Web 服务都用上了微服务,HTTPS 只能保浏览器都入口网关的安全,到了应用层或者微服务之间的传输,万一一个不小心把 Payload 泄漏出来(比如打到了日志里),加之很多用户喜欢一套账户密码走天下,很容易被撞库,所以即使是简单的哈希一下,也可以稍微强化一下这方面的安全性。
lisongeee   
你对 [密码明文传输] 认知有点像 https:///t/984105
下一页 »
12下一页
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2024-9-22 00:58 , Processed in 0.018020 second(s), 11 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部