Perché health.gov esclude alcuni caratteri speciali dalle password?

0

Il sito non consente i seguenti caratteri: =? < > () '"/ \ &

Limita inoltre la lunghezza massima della password a 20 caratteri.

Questo mi fa sospettare che potrebbero essere archiviati in testo normale e che gli input non vengano disinfettati correttamente. C'è qualche altra ragione per questo tipo di restrizione?

Non penso che questo sia un duplicato di Perché non consentire Speciali Caratteri in una password? perché si tratta di un sito piuttosto nuovo che non (a mia conoscenza) deve integrarsi con i vecchi sistemi finanziari.

    
posta user505255 25.09.2015 - 03:47
fonte

1 risposta

1

Supponendo che stiano memorizzando il proprio hash delle password, una ragionevole giustificazione per limitare il tipo di contenuto che il campo della password può contenere è semplice disinfezione dell'input.

Ci sono probabilmente un insieme di regole che vengono applicate ovunque a meno che lo sviluppatore non faccia un'eccezione speciale; in questo modo il programmatore non deve ricordare di "attivare i controlli di sicurezza" per un determinato componente; tutto è sterilizzato eccetto dove hai una giustificazione per fare diversamente.

I personaggi che vengono filtrati sono spesso associati ad attacchi di iniezione di varie strisce, e non c'è motivo per cui è necessario consentire quei caratteri nelle password e senza giustificazione per disabilitare i controlli di sicurezza , si applica la politica di default.

Perché 20 personaggi? Probabilmente era il valore predefinito in alcune librerie di componenti.

    
risposta data 25.09.2015 - 08:02
fonte

Leggi altre domande sui tag