URLの単純なパスワードは潜在的なセキュリティ脅威ですか?
私は決してセキュリティの専門家ではありません。実際、私は質問を持つあなたの平均的なジョーです。
私は自動車保険のWebサイトにいて、登録しましたが、ログインすると、暗号化されていないパスワードがアドレスバーに表示されました。
これは(私にとって)既に脅威です(私が公共の場にいた場合、誰かが私の肩越しにそれを見る可能性があります)が、このWebサイトのセキュリティにさらに深い欠陥があることを示す証拠であるかどうかを知りたいと思いました。
もしそうなら(彼らが保存しているサインである、または少なくとも暗号化せずに私のパスワードを伝えることができると言いましょう)どうすれば自分を守ることができますか?彼らにもっと情報を求めてください(しかし、彼らが私に答えることはないでしょう)。
パスワードはすべて異なりますが、共通のパターンに従っています。心配する必要があります。したがって、すべてのパスワードとパターンを変更する必要がありますか?
これは次の重複ではありません: 機密データがクエリ文字列で渡される必要がありますか?
その質問では、URLで情報を渡すのが良いことかどうか尋ねられますウェブサイトを開発している間かどうか。鉱山は何をすべきかを尋ねますあなたがそのような行動に困惑しているなら
この質問はフォローアップと見なされる場合がありますが、同じ質問ではありません
これは深刻なセキュリティ問題です。 URLには機密情報を含めないでください。
- URLは閲覧履歴に表示されます。したがって、ログアウトした後でも、同じコンピュータを使用しているユーザーがアカウントにアクセスするのは簡単です。
- 通常、Webサーバーは着信要求をログに記録します。また、リクエストの処理に関与するファイアウォールまたはプロキシは、独自のログファイルを保持する場合があります。その場合、資格情報がこれらのログ全体に表示され、リークのリスクが高まります。
- パスワードがプレーンテキストで表示されている場合は、おそらくパスワードもstoringハッシュ化されていないことを意味します。つまり、万が一データベースの違反があった場合、あなたのパスワードが開示されます。
- 多くのブラウザプラグインは、アクセスしたURLをサーバーに送信します。リストのマルウェアサイトまたは あなたをスパイする に対してそれらをチェックします。彼らが人々のブラウジング行動を追跡できるほど悪い。 URLに資格情報が含まれていると、さらに悪化します。
- Refererリーク 。アナリティクスが含まれている場合(きっと含まれていると思います)、または広告を埋め込む場合、または外部リンクをクリックするたびに、ブラウザーは通常、以前のURLを含む
Refererヘッダーを送信し、これらすべてに資格情報を開示しますパーティー。
心配して、すべてのパスワードとパターンを変更する必要がありますか?
はい、それはあなたが彼らのシステムに信頼を置くべきではないほどの露骨な欠陥です。パスワードを守ることはリスクを冒す価値はありません。アプリケーションを修正するのは彼ら自身の責任であり、ユーザーとしてそれについてできることはほとんどありません。問題について通知し、サービスの使用を控えてください。