请 [吸词] 的作者出来解释一下密码明文传输的问题

178 天前
 rambo92
今天忽然发现所有的网站的请求里都有一个固定的 url 请求:POST https://jnexswpfgysrqlagwajs.supabase.co/auth/v1/token?grant_type=password
Request Body 携带了一个我常用的用户名和密码,而密码居然是明文的!!!
这让我很是震惊,密码泄露了???

于是开始排查:
1. 打开无痕模式:随便打开个网站,没发现这个请求,于是确定跟插件有关;
2. 关闭所有插件,一个一个打开,最后定位到 [吸词]

原因找到了,那么这个是为什么呢?
1. 为什么密码要明文传输?
2. 为什么所有网站的请求都会发这个请求?插件干啥了?

https://cnnbrba5g6haaugeu530.baseapi.memfiredb.com/storage/v1/object/public/images/public/1.png
10915 次点击
所在节点    程序员
109 条回复
FTLIKON
178 天前
其实密码明文传输还挺常见的,GitHub 的注册登录就是明文传输密码
YogiLiu
178 天前
明文传输其实很常见,和是否泄漏没啥必然联系,加上协议用的是 HTTPS ,基本上没什么关系;我比较好奇第二个问题。

意思是这个插件会把你在每个网站的帐号传输到某个 URL ?如果是这样,那这不就是木马吗?

如果你想表达的是这个插件每到一个新的网站就会把你的「吸词」账户信息发给这个 URL ,那我觉得可能是作者比较懒,不想做 Token 认证,当然这样把用户密码明文持久化在浏览器相对来说是不安全的。
javalaw2010
178 天前
不考虑这个请求本身的合理性。我也不认为基于 https 的密码明文传输有什么问题。
povsister
178 天前
https 的 body 明文不是问题,密码编码更多时候是为了避免奇怪的字符导致问题。
我更关心它为什么带你的密码,这个插件要登陆?你注册了账号?
你账号密码多个平台通用一套?
grit136907108
178 天前
> 回复上面的
安装了这个插件试了下,每打开个网站都会请求这个插件的登录接口,不是说会把你其他的账号密码带进去
zero47
178 天前
确保是 Https 其实没什么问题,当然你要是投诉他确实可以让他下架整改,因为相关法律法规对这方面还是有要求的
Jirajine
178 天前
> 为什么密码要明文传输?
因为太多人认为密码明文传输不是问题。如果你不为这些人开发的服务使用密码管理器生成全随机的专用密码,那你就是受害者。
YogiLiu
178 天前
其实我能想到密码编码后传输还有一个场景,现在很多大型 Web 服务都用上了微服务,HTTPS 只能保浏览器都入口网关的安全,到了应用层或者微服务之间的传输,万一一个不小心把 Payload 泄漏出来(比如打到了日志里),加之很多用户喜欢一套账户密码走天下,很容易被撞库,所以即使是简单的哈希一下,也可以稍微强化一下这方面的安全性。
lisongeee
178 天前
你对 [密码明文传输] 认知有点像 https://v2ex.com/t/984105
belin520
178 天前
https 传输就是加密的呀
rambo92
178 天前
@FTLIKON
@YogiLiu
@javalaw2010
@povsister
@zero47
个人不赞同 https 就可以明文传输密码的观点。
从我 14 年入行时就接受了密码必须 MD5(加盐更好)后传输,服务端也不存明文密码,防止被脱裤的观点。


@YogiLiu 是的 第二个,“如果你想表达的是这个插件每到一个新的网站就会把你的「吸词」账户信息发给这个 URL ”


@povsister 非重要网站一般是通用一套


@Jirajine 确实,难以认同 HTTPS 就能明文传输的合理性
maggch97
178 天前
@rambo92 绝大部分插件安全性都堪忧,都有非常多可利用的漏洞。

在意安全其实一个插件都不应该装。
xiaoming1992
178 天前
我认为“密码明文传输也安全”必须有一个前提是放在 https post 请求的 request body 里,直接放在 url 请求参数里怎么也不能称之为安全。
ersic
178 天前
@rambo92 大部分网站都是明文呀,包括你现在用的 v2
xiaoming1992
178 天前
非要放在 url 里,那应该是 token
mohumohu
178 天前
《 https 》《明文》
v2 日经:https://www.v2ex.com/t/1025454
YogiLiu
178 天前
@xiaoming1992 Path / Query / Headers 在 HTTPS 加密是都是在加密体里的,它们和 Body 的距离只有两个空行。
kera0a
178 天前
@xiaoming1992 url 参数也是 https 加密的范围,和放 body 里没有啥区别
Alander
178 天前
@lisongeee 居然当时错过了这个帖子,看完内容,黑人问号 哈哈
xiaoming1992
178 天前
@YogiLiu @kera0a 好吧,那是我孤陋寡闻了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1043320

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX