Stack Overflow 明文密码?

2018-06-29 13:46:47 +08:00
 poorcai

登陆的时候没事,F12 看了下,竟然发现了表单输入的邮箱和密码?不加密的吗?

是我的姿势不对,还是真的发现了问题?

7592 次点击
所在节点    分享发现
60 条回复
whoami9894
2018-06-29 16:15:12 +08:00
@throns
还有这种操作,浏览器保存的不应该是前端表单的输入吗
Alphabetcn
2018-06-29 16:28:15 +08:00
@throns 可以手动 edit,需 flags 里开启
johnniang
2018-06-29 16:30:36 +08:00
这个很正常啊。你和服务器之间的传输是安全的。服务器会加密好你的密码的。
shyrock
2018-06-29 16:37:06 +08:00
服务器端保护、链路保护上面各位大佬都说过了。
但是,客户端直接能显示密码明文真的没问题吗?
如果你暂时离开座位,其他同事过来按 F12 怎么办?为什么各种密码输入框都要设计为输入时统一显示成黑点,而且不准从密码框拷贝,这不就是认为客户端的密码明文也不能被随意访问吗。
jedrek
2018-06-29 16:55:30 +08:00
@shyrock 设备都被控制了,加密和不加密也没什么区别了。
暂时离开座位正确做法是锁屏,这是使用者的问题,真不是需要加密来解决
qinxi
2018-06-29 17:01:22 +08:00
@shyrock 真的有问题吗. 都物理接管你电脑了,还谈屁安全

人才是安全环节最脆弱的一环
poorcai
2018-06-29 17:02:14 +08:00
@shyrock #24 我就是想表达你这个意思
misaka19000
2018-06-29 17:13:23 +08:00
@shyrock 设备都被攻破了还谈什么安全,那别人还可以在我不在的时候在我电脑上面种病毒呢,那是不是键盘也该加个密啊?
runnerlee
2018-06-29 17:34:55 +08:00
@Kilerd

抱歉没学过 😅见笑了, 我本来的想法比较中二, 注册的时候前端 md5, 然后登录的时候不用 md5. 这么一说才想起来能在注册的时候看到那在登录的时候也能看到, 哈哈哈, 见笑了见笑了
seancheer
2018-06-29 18:54:16 +08:00
@shyrock chrome,打开设置 -> 高级 -> 密码和表单 -> 管理密码,你可以看到所有你在网页上保存过得密码,而且是明文哦。。这个还不需要知道一丁点儿前端调试的知识。

不只是 chrome,目前浏览器如 firefox 也是这样的。。其他的因为不怎么用,没试验过。

这么设计的理由和上面解释的一样:别人都物理接触到你的机器了,在怎样的防护都没有什么用。
throns
2018-06-29 19:02:59 +08:00
@seancheer 要查看,似乎还得输入你 Google 账户的密码,不过,有软件可以直接看,我同学前几天用了,说真牛逼。
powerfj
2018-06-29 19:08:16 +08:00
从安全角度来说, 用户原始密码最好不要给到服务器, 风险较大.
shyrock
2018-06-29 19:19:50 +08:00
@jedrek @qinxi @misaka19000 @seancheer 以苹果手机为例,就算别人指纹解锁后把手机拿给你用,你也无从知道密码。从而保证你不能在锁屏后重新解锁,更不可能用这个密码去尝试其他网站。这显然是一个更安全的做法。
chinvo
2018-06-29 19:38:05 +08:00
@shyrock #33 每次要加盐、nonce、签名

恭喜你重新发明 HTTPS
lalala121
2018-06-29 19:40:55 +08:00
哈哈哈哈,菜鸡
blankme
2018-06-29 19:50:36 +08:00
@shyrock
如果你能解锁苹果手机,你就能看到系统保存的一系列网站明文密码。如果你能解锁 Windows,你也能看到 chrome 里的密码。在查看密码前要求你再次输入解锁设备的信息。

你解锁完手机给别人玩,和你输入电脑密码后给别人玩,两者的逻辑是一样的。
agagega
2018-06-29 19:51:54 +08:00
你前端散列了也没法阻止重放啊。这种情况下密码发过去后端搞起来方便点
laoyur
2018-06-29 20:03:16 +08:00
这个话题本站论战过数回了
iwtbauh
2018-06-29 20:09:20 +08:00
@seancheer #30
浏览器不是直接把密码存在硬盘上的,而是存在系统的“钥匙串”中的(例如 Linux gnome 下这个功能由 gnome-keyring 实现,kde 下由 KDE Wallet 实现)系统钥匙串由用户密码加密,所以即使物理接触,别人没有你的用户密码也没辙的。
DOLLOR
2018-06-29 20:12:56 +08:00
@shyrock
不想让人窥视密码,你离开前应该锁屏,这跟你用手机的逻辑是一样的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/466847

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX