Ho scoperto qualcosa che considero una vulnerabilità principale in un prodotto SaaS che include nome utente e password nella stringa di query dell'URL alla registrazione e ogni tentativo di accesso.
Il supporto tecnico del servizio mi ha detto che considerano la vulnerabilità insignificante, in quanto l'unico modo per sfruttarlo è ottenere l'accesso alla cronologia del browser dell'utente.
Erano corretti nella loro decisione? Sono abbastanza nuovo per la sicurezza delle informazioni, ma suona ancora pigrizia da parte loro.
Ho sfogliato questa domanda , ma dopo aver letto la risposta più promossa, sono ancora più preoccupato di questo aspetto, dato che i dati vengono inviati tramite GET e le credenziali sono visualizzate in testo semplice.