私はlivehttpheaders plugin for Firefoxを見ていて、ログインページをテストすることに決めました。私はそこに表示されているパラメータに自分のログインとパスワードが含まれていることに気付きました。たとえば、livehttpheadersにログインとパスワードが表示されるのはなぜですか?それを防ぐにはどうしたらいいですか?
username=sarmenhb&password=thepassword&submit=Login
平易な英語です。
他のサイトでは表示されません。
どうしたらいいですか?私はこれをセキュリティ上の欠陥とみなしています。ログインページは、ユーザーを検証してログインするだけです。すべてのフィールドはmysql_real_escape_string
(該当する場合)で実行されます。
しかし、別のサイトでhttpライブヘッダーを実行すると、なぜ私はプレーンな英語で同じ情報が表示されないのですか? –
おそらくAJAXを使ってセッションクッキーを認証して取得するのでしょうか?サイトによって異なります。 –
クライアント側ではパスワードをMD5だけではできませんが、サーバーはトークンを設定し、クライアントをMD5(トークン+パスワード)に強制することができます。これにより、送信されたパスワードのハッシュが毎回異なるようになり、誰かがMD5-> Plaintextデータベースでパスワードを検索するのを止めるような役割も果たします。 もちろん、SSLを使用することは受け入れられた修正です。 – Matthew