Posso impedire a Internet Explorer di memorizzare richieste di accesso in memoria?

4

Utilizzo di Internet Explorer 11 Sono stato in grado di accedere alle applicazioni Web HTTPS fornendo un nome utente e una password e quindi successivamente il logout. Mentre il processo del browser è in esecuzione, posso quindi scaricare la memoria del browser (ad esempio utilizzando WinHex ) e posso vedere il login Richiesta HTTP, incluso nome utente e password, in testo semplice.

Esiste un'impostazione di configurazione all'interno del browser o una modifica che potrebbe essere apportata alle applicazioni Web per impedirlo?

    
posta Matthew Murdoch 04.02.2016 - 14:40
fonte

2 risposte

8

Su un computer Windows, l'ispezione della memoria del processo IE è limitata all'utente proprietario e agli amministratori. Se un utente malintenzionato può ispezionare la memoria del tuo processo di IE, allora quell'attaccante ha preso il controllo della tua macchina e / o del tuo account e sei già condannato.

Se la macchina è "condivisa", allora non c'è una soluzione veramente buona: se un'entità nemica può prendere il controllo della macchina dopo averla usata, lo stesso attaccante probabilmente prenderà il controllo della macchina prima inizi a utilizzarlo e imposti un registratore di tasti , a quel punto la tua password viene brindata. Nessuna quantità di chiusura / riavvio ti salverà. La conclusione è triste ma ineluttabile: NON digitare password (o qualcosa di segreto) su una macchina condivisa.

Se ti trovi in un contesto in cui temi solo gli attaccanti che afferrano la macchina dopo il tuo utilizzo (il modello "laptop theft"), allora il meglio che puoi ottenere è probabilmente quello di impiegare l'intero disco crittografia (ci sono vari prodotti per questo: alcune versioni di Windows ne includono già una chiamata BitLocker ). Se hai cura di spegnere la macchina quando non la usi, o se tieni a mente dettagli sulla modalità sleep / ibernazione , quindi questo dovrebbe proteggere i tuoi dati, inclusi i pezzi che si attardano nella RAM.

Per gli attaccanti con poca competenza, puoi semplicemente assicurarti che il processo di IE sia morto, chiudendo tutte le finestre tutte , ma questo non rimuove necessariamente tutte le tracce dei dati dalla RAM. Le tue password potrebbero anche essere state scritte nel file di memoria virtuale. La crittografia su disco completo è una soluzione più completa.

    
risposta data 04.02.2016 - 19:52
fonte
-2

No, ma puoi hash o crittografare la password nel client prima di postare sul server. JSEncrypt funziona bene per questo. In un mondo perfetto, Microsoft avrebbe risolto questo problema tramite il service pack.

    
risposta data 24.04.2018 - 17:03
fonte

Leggi altre domande sui tag