È una semplice password nell'URL una potenziale minaccia alla sicurezza? [duplicare]

Naviga le tue risposte
14

Non sono affatto un esperto di sicurezza, infatti sono solo il tuo Joe medio con una domanda.

Ero sul mio sito web di assicurazione auto, mi sono registrato e appena ho effettuato l'accesso ho visto la mia password, non crittografata, in bella vista nella barra degli indirizzi.

Ora questo (per me) è già una minaccia (qualcuno potrebbe vederlo da dietro le spalle se fossi in uno spazio pubblico) ma volevo sapere se è un segno rivelatore di un difetto più profondo nella sicurezza di questo sito web.

Se è (diciamo che può essere un segno memorizzano, o almeno comunicano la mia password, senza crittografia) come posso difendermi? dovrei chiedere loro maggiori informazioni (ma io dubito che mi risponderanno mai.

Le mie password sono tutte diverse ma seguono uno schema comune, dovrei preoccuparmi e quindi modificare tutte le mie password e il pattern?

Questo NON è un duplicato di: I dati sensibili devono mai essere passati nella stringa di query?

In questa domanda viene chiesto se è opportuno passare informazioni nell'URL MENTRE LO SVILUPPO DI UN SITO o meno. Il mio chiede cosa fare SE STUMBLE SUON TALE COMPORTAMENTO

Questa domanda potrebbe essere vista come un seguito ma non sta ponendo la stessa domanda

    
posta zakkos 15.11.2016 - 18:36
fonte

1 risposta

23

Questo è un serio problema di sicurezza. Gli URL non dovrebbero mai contenere informazioni riservate.

  • gli URL vengono visualizzati nella cronologia di navigazione. Quindi, anche dopo aver effettuato il logout, sarà banale accedere al tuo account per chiunque utilizzi lo stesso computer.
  • Comunemente, i server Web stanno registrando le richieste in arrivo. Inoltre, i firewall oi proxy coinvolti nell'elaborazione delle richieste potrebbero conservare i propri file di registro. In tal caso, le credenziali verranno visualizzate su tutti questi registri, aumentando il rischio di perdita.
  • Se ti mostrano la tua password in testo semplice, probabilmente significa che sono anche memorizzazione che non ha un hash. Ciò significa che se dovesse esserci una violazione del loro database, la tua password verrà divulgata.
  • Molti plug-in del browser inviano URL visitati ai loro server, ad es. per controllarli contro un elenco di siti di malware o semplicemente per spiarti . È già abbastanza brutto che siano in grado di tracciare il comportamento di navigazione delle persone. Con le credenziali nell'URL è anche peggio.
  • Referer leaks . Se includono l'analisi (sono sicuro che lo facciano) o incorporano la pubblicità, o ogni volta che fai clic su un link esterno, il tuo browser invia in genere un'intestazione Referer che contiene l'URL precedente, rivelando così le tue credenziali a tutte queste parti.

should I be concerned and thus change all of my passwords and pattern?

Sì, è un difetto così evidente che non dovresti fidarti dei loro sistemi. Attenersi alla tua password non vale la pena correre rischi. È responsabilità loro di fissare l'applicazione e come utente non c'è molto che si possa fare a riguardo. Informali gentilmente del problema e astieniti dall'utilizzare i loro servizi.

    
risposta data 15.11.2016 - 18:50
fonte

Leggi altre domande sui tag

PGP è protetto contro un keyserver non autorizzato? Come può chiunque accedere al "backdoor OS" di Intel, MINIX?