在我的公司,我们正在编写一个小型 Web 应用程序,它将在 HSTS 协议下托管和测试。
我的一位测试人员抱怨说,用户名和密码可以明文形式看到,因此不安全。我回答说由于 HSTS 的实施,它不能被解密。我指出wireshark日志并证明它是加密的。
我的测试人员指出Firebug他自己的浏览器并说它显示的是明文用户名和密码,因此不安全。
综上所述,以下是我的分析和疑问:
由于 HSTS 在数据从浏览器移动到 Web 服务器时启用了安全性,Firebug它只是一个浏览器插件,它知道 DOM 树中的所有内容,因此它可以查看表单字段、用户名和密码。
是否可以禁用Firebug识别 dom 树?
泄露内容Firebug真的是一个漏洞吗?如果是,我该如何减轻它?
听起来对系统不同部分提供的保护有些混淆。
HSTS 对以前通过 HTTPS 访问过该站点的用户在给定的时间段内强制执行 HTTPS。如果用户从未访问过站点的 HTTPS 版本,并且该站点也可通过 HTTP 访问(没有重定向到 HTTPS),则它不会做任何事情 - 流量将是未加密的。
Firebug 在解密后访问数据——它是一个调试工具。如果浏览器能看清楚,Firebug 也能看清楚。这不是漏洞,除非网站正在发送不应该发送的数据(例如来自服务器的密码),在这种情况下,漏洞在于网站,而不是 Firebug。
如果您将密码从服务器发送到客户端,那么您就会遇到问题 - 这绝不应该是必需的。密码应该被认为是一种方式——用户输入密码,然后在服务器端进行检查。这最大限度地减少了在没有更大的服务器危害的情况下发现任何密码的机会。
否 Firebug不会解密 SSL 流量。
Firebug只需提醒一个关键细节:SSL 连接可防止窃听连接路径。SSL 应该被视为一个加密隧道(VPN 是另一个),但在隧道的两端,一切都清晰可见:清晰。
Firebug 根本不是漏洞。