我最近一直在网上玩不同的登录表单,看看它们是如何工作的。其中之一是 Facebook 登录表单。当我退出我的帐户时,我的电子邮件和密码由我的浏览器自动完成。然后我决定拼错我的电子邮件,看看如果我尝试登录会发生什么。
example@gmail.com
令我惊讶的是,在将电子邮件从 更改为后,我登录没有问题example@gmail.comm
。然后我开始尝试不同的拼写错误,只要它离我的真实电子邮件不太远,我就可以登录。我也尝试更改域名example@gmadil.coom
,我的电子邮件前缀ezfxample@gmail.com
等。
然后我也尝试拼错我的密码,只要它与我的真实密码相差不远,我就可以登录没有问题(使用密码在真实密码之前或之后添加一个随机字母时有效,但在添加字母时无效在它的中间)。
我还通过在 Chrome DevTools 中查看请求中发送的实际数据来检查它,实际上它是发送的错误数据。
怎么会这样?我应该担心我的帐户安全吗?