Ho appena provato a reimpostare la mia password su radioooooo.com.
Non ho prestato molta attenzione agli avvertimenti di firefox perché sono abituato a vederli sulla nostra intranet al lavoro, ma penso che quando si fa clic sul pulsante "OK" la mia password potrebbe essere stata trasmessa in chiaro.
Ecco cosa ho fatto:
- Chiede la reimpostazione della password
- Ricevuto un link tramite email per reimpostare la mia password, che assomiglia a questo:
http://radiooooo.com/#reset/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX - Ha inserito una nuova password
- Cliccato su OK, che sembrava aver inviato un OPTION e un POST agli URL http
Ecco le richieste:
OPTIONS XHR http://admin1.radiooooo.com/api/user/resetPassword [HTTP/1.1 200 OK 299ms]
POST XHR http://admin1.radiooooo.com/api/user/resetPassword [HTTP/1.1 404 Not Found 514ms]
Non ho familiarità con la console di Firefox ma il POST non sembra avere un corpo, il che mi fa pensare che la mia password non sia stata effettivamente inviata. Ecco l'intestazione:
Accept*/*
Accept-Encoding gzip, deflate
Accept-Language en-US,en;q=0.5
Connection keep-alive
Content-Length 71
Content-Type application/json
DNT 1
Host admin1.radiooooo.com
Origin http://radiooooo.com
Referer http://radiooooo.com/User-AgentMozilla/5.0 (X11; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0
E l'intestazione della risposta:
Cache-Control no-cache, no-store, max-age=0, must-revalidate
Connection keep-alive
Content-Encoding gzip
Content-Type application/json;charset=UTF-8
Date Thu, 22 Mar 2018 19:22:36 GMT
Expires 0
Pragma no-cache
Servernginx/1.2.1
Transfer-Encoding chunked
Vary Accept-Encoding
X-Content-Type-Options nosniff
X-Frame-Options DENY
X-XSS-Protection1; mode=block