Compilazione automatica su siti Web (non attendibili)

6

Considera un sito web che utilizza https che presenta un modulo di accesso sulla home page. Oggi ho visitato un sito web di questo tipo, che ho un login e una password, e per la prima volta mi è stato presentato un avviso su un certificato SSL non valido, in questo caso a causa di un nome di dominio leggermente diverso sul certificato (ad es. exchange.com se fossi stato a visitare stackexchange.com, senza sapere se uno è un alias dell'altro).

Ho informato l'amministratore del sito web tramite un'altra route e non intendo accedere (o inserire altri dettagli) finché il problema del certificato non viene risolto. Tuttavia, dopo aver visto l'avviso sul certificato SSL, ho fatto clic per verificare se il sito appare è lo stesso.

La pagina sembrava normale e la funzione di riempimento automatico di Chrome ha inserito automaticamente il mio nome utente e la password oscurata.

Se il sito era stato intercettato / sostituito da una parte malintenzionata, quella parte sarebbe stata in grado di raccogliere informazioni di accesso dal riempimento automatico senza l'utente che faceva clic per accedere?

    
posta pbeentje 21.12.2017 - 09:45
fonte

1 risposta

1

Questo comportamento probabilmente varierà in base al browser.

Per quanto riguarda Chrome, credo che (almeno per le password) questi valori siano visualizzati come immessi ma inizialmente non siano disponibili per Javascript forniti dal sito. Nel momento in cui interagisci con la pagina (ad esempio facendo clic ovunque all'interno di essa) lo è.

Credo che per IE / Firefox (a partire dalla fine dello scorso anno) i valori siano stati resi disponibili immediatamente, quindi avrei subito il problema che hai indicato.

    
risposta data 21.12.2017 - 11:08
fonte

Leggi altre domande sui tag