gebruikersnaam en wachtwoord verbergen
Kan ik dit omzeilen?
Gewijzigd op 23/04/2013 20:00:35 door N K
Hoe kun je zien welk wachtwoord je mee hebt ingelogd dan? Dat heb ik namelijk nog nooit gezien tot nu toe.
- open developer tools (ik gebruik chrome) en open de network tab voordat je inlogt.
- log normaal in met je gegevens
- Kijk nu in de network tab. Vaak is het eerste bestand een login script. Open deze en kijk in de headers bij Form data.Daar staat je gebruikersnaam en wachtwoord ongecodeerd.
Toevoeging op 23/04/2013 22:14:06:
Edit:
Ik zie dit nu ook bij digi-d. Het zal dus wel veilig zijn(?)
Bij discogs.com zie je dat het wachtwoord veld leeg blijft. Dus het kan wel....
Bij discogs.com zie je dat het wachtwoord veld leeg blijft. Dus het kan wel....
Niemand?
Ik denk niet dat het echt belangerijk is om te weten (no offense). Als je inlogt hoor je niet een onderwaterscherm open te hebben (als je geen developer bent) laat staan het scherm openstaan waar je inloggegevens staan. Een hacker kan daar bijvoorbeeld niet bij komen dus lijkt mij niet dat er enig gevaar bij is.
Onzin, er zijn genoeg webapplicaties die met enige vorm van single-sign-on werken en het wachtwoord leeg laten of vullen met een algemeen wachtwoord. Er kan wel degelijk misbruik van gemaakt worden.
Huh? Ik volg je even niet. Leg dat eens uit?
Om mensen automatisch in te laten loggen wordt vaak gekozen om het wachtwoord leeg te laten of een algemeen wachtwoord voor iedereen te vullen. Als deze zichtbaar is als je eenmaal bent ingelogd dan kan je daar misbruik van maken door opnieuw in te loggen maar dan met een andere gebruikersnaam. Het wachtwoord heb je al dus die kan je dan ook invullen.
Heeft dat niet meer te maken met hoe erg mensen hun eigen computer beveiligen?
Gewijzigd op 25/04/2013 12:50:07 door N K
Je kunt het veelal bestrijden door het attribuut autocomplete="off" toe te voegen en bij een wachtwoord value="..." in te stellen op een aselecte string.
Je hebt hier toch gewoon te maken met post waarden die inzichtelijk zijn. Daar veranderd autocomplete toch niks aan??
Chrome laat je gewoon de POST headers zien. Daarmee wordt de data verstuurd. Dat is niet te voorkomen. Anders moet je wachtwoord niet verstuurd worden maar dan kun je niet inloggen.
Ik wist nooit dat dit ook kon!
Toevoeging op 25/04/2013 15:44:40:
Bij PHPHulp.nl werkt het niet omdat hij hem meteen redirect, misschien kan je het zo verbegen?
Gewijzigd op 25/04/2013 17:29:18 door Kris Peeters