Ho trovato alcuni siti (ma non molti, link mi hanno fatto pensare a questo) che converti i campi delle credenziali in password campi che non erano campi mascherati (es. campo Username) prima della trasmissione (es. usando javascript). Qual è il vantaggio di questo?
L'unico vantaggio è che, presumibilmente, il campo del nome utente non è più chiaramente visibile nel browser. Ciò potrebbe aiutare a prevenire la navigazione a tracolla anche se mi sembra un tratto.
Non riesco a pensare a nessun altro potenziale vantaggio.
La quantità di sicurezza ottenuta da tale pratica è molto piccola. Alcuni prompt di accesso di Linux non mostrano ciò che è o quanto è in un campo password. Per un nome utente, non mostrare quali caratteri, ma quanti sono stati inseriti è quasi inutile. In una email ufficiale probabilmente pubblicheranno il tuo nome utente e faranno la stessa cosa su carta.
Come accennato in altre risposte, una tale pratica di rendere il campo nome utente un campo password può aiutare solo con la navigazione a spalla. L '"attaccante" è ancora a conoscenza del numero di caratteri del tuo nome utente e, se hanno accesso alla memoria del browser, potrebbero potenzialmente ottenere l'accesso sia al nome utente che alla password.
A meno che il nome utente non sia hash / crittografato / offuscato e tu intendi fare operazioni bancarie in un luogo pubblico, questa pratica è molto "sicurezza per lo spettacolo".
Modifica Ci sono alcuni strumenti che possono ottenere schermate e inviare dal PC dell'utente in tal caso, l'acquisizione dello schermo è inutile in quanto le informazioni si trovano nelle caselle di testo nascoste.
Se c'è un requisito speciale per una cosa del genere, puoi farlo, ma ricorda che c'è l'opzione maschera / smascheramento con la casella di testo della password anche per una maggiore facilità d'uso.
Leggi altre domande sui tag javascript authentication web-application