Quando utilizzo l'elemento integrato di ispezione di Chrome, fai clic sulla scheda di rete e visualizza un file login.action o un file di sessione, mostra la password in testo normale. È normale?
Quando utilizzo l'elemento integrato di ispezione di Chrome, fai clic sulla scheda di rete e visualizza un file login.action o un file di sessione, mostra la password in testo normale. È normale?
Sì, è normale.
La scheda di rete negli strumenti di sviluppo di Chrome mostra le operazioni di rete per il sito web attivo, ma tutto il traffico verrebbe crittografato sul cavo se il sito utilizza SSL / TLS.
Ad esempio, ecco un login registrato su un sito web con SSL / TLS:
General
Request URL: https://www.w3schools.com/action_page.php
Request Method: POST
Status Code: 200
Form Data
uname: someUsername
psw: somePassword
remember: on
E se Wireshark viene utilizzato per acquisire la richiesta di post, tutto ciò che puoi vedere sono alcuni dati crittografati.
Leggi altre domande sui tag web-browser chrome web-application appsec account-security