La mia password è stata compromessa?

1

Ho appena provato a reimpostare la mia password su radioooooo.com.

Non ho prestato molta attenzione agli avvertimenti di firefox perché sono abituato a vederli sulla nostra intranet al lavoro, ma penso che quando si fa clic sul pulsante "OK" la mia password potrebbe essere stata trasmessa in chiaro.

Ecco cosa ho fatto:

  • Chiede la reimpostazione della password
  • Ricevuto un link tramite email per reimpostare la mia password, che assomiglia a questo: http://radiooooo.com/#reset/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
  • Ha inserito una nuova password
  • Cliccato su OK, che sembrava aver inviato un OPTION e un POST agli URL http

Ecco le richieste:

OPTIONS XHR http://admin1.radiooooo.com/api/user/resetPassword [HTTP/1.1 200 OK 299ms]
POST XHR http://admin1.radiooooo.com/api/user/resetPassword [HTTP/1.1 404 Not Found 514ms]

Non ho familiarità con la console di Firefox ma il POST non sembra avere un corpo, il che mi fa pensare che la mia password non sia stata effettivamente inviata. Ecco l'intestazione:

Accept*/*
Accept-Encoding gzip, deflate
Accept-Language en-US,en;q=0.5
Connection keep-alive
Content-Length 71
Content-Type application/json
DNT 1
Host admin1.radiooooo.com
Origin http://radiooooo.com
Referer http://radiooooo.com/User-AgentMozilla/5.0 (X11; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0

E l'intestazione della risposta:

Cache-Control no-cache, no-store, max-age=0, must-revalidate
Connection keep-alive
Content-Encoding gzip
Content-Type application/json;charset=UTF-8
Date Thu, 22 Mar 2018 19:22:36 GMT
Expires 0
Pragma no-cache
Servernginx/1.2.1
Transfer-Encoding chunked
Vary Accept-Encoding
X-Content-Type-Options nosniff
X-Frame-Options DENY
X-XSS-Protection1; mode=block
    
posta little-dude 22.03.2018 - 19:53
fonte

2 risposte

4

Sì, la password è stata inviata. Puoi capire dall'intestazione della lunghezza del contenuto che il corpo non era vuoto.

Firefox mostra i dati POST in una scheda separata quando selezioni la richiesta.

    
risposta data 22.03.2018 - 20:07
fonte
1

Mentre la tua password è stata ripristinata, come da @GeirEmblemsvag post sopra, dovresti reimpostarla tramite HTTPS. Come forse saprai, la reimpostazione (o la trasmissione) di una password lo rende disponibile alle intercettazioni. È più sicuro navigare semplicemente su quel sito tramite HTTPS e reimpostare nuovamente la password.

    
risposta data 22.03.2018 - 20:39
fonte

Leggi altre domande sui tag