如果安全、正确地存储密码是良好的风格和安全性,那么对于要求用户输入密码的网页来说不应该也是如此吗?
考虑这个例子
<script>
function copy() {
var text = document.getElementsById('text');
var pass = document.getElementsById('pass');
text.value = pass.value;
}
</script>
<input type=text id=text>
<input type=password id=pass>
<button onclick="copy();">copy</button>
在密码框中输入一些内容,然后单击复制按钮,瞧,它就公开了。但是,如果您从密码框中复制并粘贴,那么您将获得无用的数据。
考虑登录页面上包含的不受您控制的 JavaScript 片段数量(分析、页面流跟踪器、云中的托管脚本)。对于 Web 浏览器来说,阻止这种对密码字段的编程访问并提供自己的密码验证 API 是否有意义?
此漏洞是[传统实现]所固有的应用层认证,因此必须收集登录名/密码对并通过线路传输。 (网络浏览器并不是这个秘密受到威胁的唯一地方)。
javascript 主机和/或 http 级别的一些保护措施已到位,以防止some你预见到的危险,但无论如何总是存在代码注入的风险......
最重要的是,如果需要有效的安全性,您可以考虑替代身份验证方法,例如操作系统集成安全性、其他形式的基于挑战的安全,以及非基于密码的方法(例如:显示一系列照片的类似验证码的挑战,其中一些是由被验证的人预先学习的。)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
