Ci sono dei rischi con la prepopolazione di un nome utente da una querystring su una pagina di accesso?

2

Quindi, abbiamo una pagina di accesso abbastanza standard su un'applicazione web.

Vogliamo apportare una leggera modifica in modo che se un utente ottiene la sua password errata, la pagina si ricarica (come al momento) ma il nome utente viene mantenuto in modo che l'utente non debba inserirlo nuovamente.

Il modo più semplice per farlo è inserire il nome utente nella querystring e collegarlo all'input del nome utente.

Ci sono dei rischi associati a questo approccio?

Ci stavo pensando, e non riesco a pensare a come potrebbe essere sfruttato (eccetto che un URL modificato viene inviato agli utenti che prepopolano con il nome utente di un altro utente, ma anche così, non riesco a vedere in che modo potrebbe essere sfruttato ulteriormente).

    
posta evilbhonda 04.01.2018 - 09:52
fonte

1 risposta

2

L'unico problema di sicurezza che posso vedere con questo è che avrai i tuoi nomi utente visualizzati in tutti i tipi di log e nella cronologia del browser degli utenti. Per la maggior parte delle applicazioni, tuttavia, non sarebbe un problema.

Inoltre, potresti voler disattivare l'invio di intestazioni di referer dalla pagina di accesso. Altrimenti, se si collegano a siti esterni si potrebbero perdere nomi utente a loro. Come utente, non voglio che il sito A sappia chi sono sul sito B.

Come sottolinea Mathew , si applica tutta la solita considerazione quando si gestiscono dati non fidati, quindi è necessario pensare a XSS ecc.

(Se questo è un buon modo per farlo con ASP.NET è un problema a parte che non conosco la risposta.)

    
risposta data 04.01.2018 - 10:31
fonte

Leggi altre domande sui tag