Se la documentazione di LastPass è aggiornata con il loro codice sorgente, non devi preoccuparti dei falsi positivi. (Puoi invece preoccuparti dei falsi negativi ). Rilevare un modulo che viene inviato tramite GET
o mailto:
è un compito relativamente facile.
Una richiesta GET
in HTTP (e HTTPS) è il metodo di richiesta più semplice e diffuso. Trasferisce (quasi) tutti i tuoi dati nell ' URL , cioè nella stessa riga di lettere che viene visualizzata nella barra degli indirizzi del tuo browser. L'invio di un modulo in una richiesta diGET
HTTP (S)% non è sicuro: ecco le possibili conseguenze .
L'altro metodo, doppiato mailto
, non è in realtà un metodo di richiesta HTTP (s), ma piuttosto un modo per inviare i dati via e-mail al posto di un browser, HTTP e World Wide Web. L'invio di dati sensibili tramite e-mail anziché una richiesta diPOST
HTTPS% potrebbe essere ancora meno sicuro .
Se davvero devi usare un sito Web che lo fa in entrambi i casi, meglio a) valuta le tue opzioni e prova a scegliere il concorrente di un sito; b) leggi due link appena sopra e valuta i tuoi rischi.
Per quanto riguarda AJAX, è fondamentalmente un livello di astrazione su HTTP (S). Potrebbe facilmente essere implementato con richieste di GET
: Wikipedia ha un esempio perfetto di questo. Quindi utilizzare AJAX da solo non è rilevante per la domanda.
Alcuni chiarimenti:
-
Gli autori di LastPass molto probabilmente sono ben consapevoli del fatto che esistono (a volte importanti) siti Web che non seguono le migliori pratiche di sicurezza. Pertanto, LastPass non impedirà l'utilizzo di tali siti Web a tutti i costi, ma mette in evidenza un problema e lascia l'onere del processo decisionale per l'utente.
-
A volte, infatti, l'utilizzo di GET
o mailto:
è in qualche modo (probabilmente, ma) meno di un problema. Per esempio. quando il messaggio e-mail viene inviato a un dispositivo attivo
la rete locale o quando una richiesta di GET
termina sull'host locale. LastPass non può rilevare in modo affidabile tali eccezioni, ecco perché visualizza solo un avviso.
-
Credo che se LastPass ha rilevato l'utilizzo di questi metodi, si può essere certi che uno di questi metodi sia, in effetti, utilizzato. Gli strumenti per sviluppatori (scheda "rete") possono aiutare a rintracciarli.
-
Ancora una volta, l'utilizzo di AJAX da solo non significa che il modulo non venga inviato in una richiesta di GET
. Potrebbe essere in entrambi i modi. Fingendo che un sito Web non stia utilizzando% richieste diGET
perché sta usando AJAX è semplicemente sciocco.