今天我去重置我的路由器，但忘记了 ISP 的帐户密码。在“密码”字段中出现密码的（极）可能性时，我转到路由器配置设置的相应页面（未使用 HTTPS 保护）并发现密码已被空白 -人物 （••••）。

但是，在查看页面源时，密码是完全可见的，它本质上是这样的：

<input type="password" name="Password" value="SDrtdF">

_{显然这不是我的密码，而且我还更改了 HTML 元素的几个方面，以尽量减少利用}

密码字段的输入值由路由器提供，而不是由浏览器提供（我不使用自动填充或工具来记住密码）。对于这个例子，真正的密码是SDrtdF，它是密码字段的值。

这实质上意味着任何有权访问路由器*的人都可以轻松检索连接到 ISP 的帐户的密码，并将其用于其他地方进行非法手段。了解一些 ISP 的情况（主要是否认存在问题，花一周时间了解问题所在等），受害者可能首先知道的是 ISP 将其切断和/或警察来敲门他们的门。

*如果网络上的计算机感染了恶意软件，并且如果所述恶意软件发回每个访问页面的源副本，则不需要对路由器进行“物理”访问。

在密码/敏感字段中使用“虚拟”输入是网站上的一种常见做法。浏览器自动填充甚至不会像这样将密码放在“一目了然”的地方。

很明显，ISP 密码应该是隐藏的（否则，如果密码应该是可见的，为什么要首先将其表示为密码字段？）。

是否应该认真对待这样的漏洞？是否值得让路由器制造商意识到（我会说是的，因为他们的其他路由器也可能带有相同的漏洞？

_{注意：我已经让路由器的制造商意识到了这一点，并且我不会透露路由器的制造商或型号，直到/如果这个问题得到修复，以确保易受攻击的路由器的安全。}