Bij bijna elke site die ik tegenkom kan je (bijv met chrome developer tools) onderwater bekijken met welke gebruikersnaam en wachtwoord je bent ingelogd.(Via netwerk en dan de form data bekijken van de loginpagina) Ik vraag me af of dit nu echt geen kwaad kan. Ik vind het in ieder geval niet echt professioneel staan.
Kan ik dit omzeilen?
Gewijzigd op 23/04/2013 20:00:35 door
N KHoe kun je zien welk wachtwoord je mee hebt ingelogd dan? Dat heb ik namelijk nog nooit gezien tot nu toe.
Ga naar een site waar je moet inloggen (heb het getest bij o.a. facebook of marktplaats)
- open developer tools (ik gebruik chrome) en open de network tab voordat je inlogt.
- log normaal in met je gegevens
- Kijk nu in de network tab. Vaak is het eerste bestand een login script. Open deze en kijk in de headers bij Form data.Daar staat je gebruikersnaam en wachtwoord ongecodeerd.
Toevoeging op 23/04/2013 22:14:06:
Edit: Ik zie dit nu ook bij digi-d. Het zal dus wel veilig zijn(?)
Bij discogs.com zie je dat het wachtwoord veld leeg blijft. Dus het kan wel....
Ik denk niet dat het echt belangerijk is om te weten (no offense). Als je inlogt hoor je niet een onderwaterscherm open te hebben (als je geen developer bent) laat staan het scherm openstaan waar je inloggegevens staan. Een hacker kan daar bijvoorbeeld niet bij komen dus lijkt mij niet dat er enig gevaar bij is.
Onzin, er zijn genoeg webapplicaties die met enige vorm van single-sign-on werken en het wachtwoord leeg laten of vullen met een algemeen wachtwoord. Er kan wel degelijk misbruik van gemaakt worden.
Huh? Ik volg je even niet. Leg dat eens uit?
Om mensen automatisch in te laten loggen wordt vaak gekozen om het wachtwoord leeg te laten of een algemeen wachtwoord voor iedereen te vullen. Als deze zichtbaar is als je eenmaal bent ingelogd dan kan je daar misbruik van maken door opnieuw in te loggen maar dan met een andere gebruikersnaam. Het wachtwoord heb je al dus die kan je dan ook invullen.
Heeft dat niet meer te maken met hoe erg mensen hun eigen computer beveiligen?
Nee, meer op welke manier de single-sign-on is ingericht. Op internet zul je dit niet vaak meemaken. Bij interne bedrijfs(web)applicaties wel.
Gewijzigd op 25/04/2013 12:50:07 door
N KDit hangt deels samen met een AutoComplete. Niet de website maar de webbrowser vult de eerder ingevulde accountgegevens opnieuw in. De developer tools van Google Chrome tonen wat Chrome van de webpagina gebakken heeft en dat is meestal geen exacte kopie van de werkelijke webpagina.
Je kunt het veelal bestrijden door het attribuut
autocomplete="off" toe te voegen en bij een wachtwoord
value="..." in te stellen op een aselecte string.
Je hebt hier toch gewoon te maken met post waarden die inzichtelijk zijn. Daar veranderd autocomplete toch niks aan??
Chrome laat je gewoon de POST headers zien. Daarmee wordt de data verstuurd. Dat is niet te voorkomen. Anders moet je wachtwoord niet verstuurd worden maar dan kun je niet inloggen.
Haha! Bedankt voor de tip, die onthoud ik!
Ik wist nooit dat dit ook kon!
Toevoeging op 25/04/2013 15:44:40:
Bij PHPHulp.nl werkt het niet omdat hij hem meteen redirect, misschien kan je het zo verbegen?
Verder ... Je OS niet aan laten en mensen (die je niet vertrouwt) niet laten prutsen aan je webbrowser.
