URL 中的普通密码是否存在潜在的安全威胁?

信息安全 密码 网站 网址
2021-08-28 07:42:10

我绝不是安全专家,事实上,我只是一个有问题的普通乔。

我在我的汽车保险网站上注册了,当我登录时,我在地址栏中清楚地看到了我的密码,未加密。

现在(对我而言)这已经是一种威胁(如果我在公共场所,有人可以从我的肩膀上看到它),但我想知道这是否是该网站安全性存在更深层次缺陷的迹象。

如果是(假设它可以是他们存储的标志,或者至少传达我的密码,无需加密)我该如何保护自己?我应该向他们询问更多信息吗(但我怀疑他们会不会回答我)。

我的密码都是不同的,但它们遵循一个共同的模式,我应该担心并因此更改我所有的密码和模式吗?

这不是以下内容的重复:是否应该在查询字符串中传递敏感数据?

在那个问题中,它被问到在开发网站时在 URL 中传递信息是否是一件好事我的问如果你偶然发现这种行为该怎么办

这个问题可能被视为后续问题,但它不是问同一个问题

1个回答

这是一个严重的安全问题。URL 不应包含敏感信息。

  • URL 会显示在您的浏览历史记录中。因此,即使在注销后,使用同一台计算机的任何人都可以轻松访问您的帐户。
  • 通常,Web 服务器记录传入的请求。此外,处理您的请求所涉及的防火墙或代理可能会维护自己的日志文件。在这种情况下,您的凭据将出现在所有这些日志中,从而增加了泄漏的风险。
  • 如果他们以纯文本形式向您显示您的密码,这可能意味着他们也未散列地存储它。这意味着,如果碰巧他们的数据库遭到破坏,您的密码将被泄露。
  • 许多浏览器插件将访问过的 URL 发送到它们的服务器,例如,对照恶意软件站点列表检查它们,或者只是为了监视您他们能够跟踪人们的浏览行为已经够糟糕了。使用 URL 中的凭据会更糟。
  • 推荐人泄漏如果它们包含分析(我确信它们包含)或嵌入广告,或者每当您单击外部链接时,您的浏览器通常会发送一个Referer包含先前 URL 的标题,从而向所有这些方披露您的凭据。

我应该担心并因此更改我所有的密码和模式吗?

是的,这是一个明显的缺陷,你不应该相信他们的系统。坚持你的密码是不值得冒险的。修复应用程序是他们自己的责任,作为用户,您无能为力。请告知他们有关问题并避免使用他们的服务。

其它你可能感兴趣的问题
上一篇是否应该为 Meltdown 和 Spectre 修补虚拟机? 下一篇为什么用多个散列函数对密码进行散列是无用的?