一个发现,豆瓣 web 端账号密码明文写在 url 里

2023-08-07 01:03:00 +08:00
 lightyisu
今日闲来无事,想看看豆瓣的 Web 登录页面,发现用账号和密码竟然明文写在 url 里发送
对网络这块只懂皮毛,我感觉这要走第三方代理的话留下记录或者被抓包什么的这也太裸奔了点
如下登录链接 https://accounts.douban.com/j/mobile/login/basic?remember=true&name=xxxx&password=xxxxxx
不过豆瓣 web 端也是没人管的感觉
4650 次点击
所在节点    分享发现
23 条回复
netusers
2023-08-07 01:15:38 +08:00
我记得豆瓣登陆,还是要手机号+短信,这造成账号密码明文影响不大。从技术、安全角度讲,确实不该明文。
wangkun025
2023-08-07 01:38:07 +08:00
自从强制要求验证手机号,就没登录过了。
halberd
2023-08-07 02:03:16 +08:00
https ,域名之后的所有东西,包括 path 和 GET/POST 数据,一出浏览器就已经加密了吧,代理抓包都看不到(中间人攻击另说)。它这个是 GET ,实际上你看下 Google 之类大网站的方式,也是账号密码明文放在 POST 里面。
安全性应当依赖 TLS ,除此之外的加密没什么意义,顶多搞一层加盐哈希。
blackcurrant
2023-08-07 02:06:59 +08:00
应该用 post 方法
halberd
2023-08-07 02:12:12 +08:00
用 GET 的缺点是会留在浏览器历史记录里,在 Windows 这种没有应用沙箱机制的系统上,会被流氓软件扫盘读到。但这和网络传输安全性就没关系了。
只从网络安全角度,GET 和 POST 安全性没有区别,唯一重要的是 https 。
mineralsalt
2023-08-07 02:14:17 +08:00
一般都是 md5 之后再进行服务端验证, 但是如楼上所说, 反正 https 都加密了, 这层 hash 有没有都差不多
ZRS
2023-08-07 02:20:26 +08:00
有 TLS 对于任意第三方是安全的
但用 GET 在实践上会有点问题,比如明文密码会留存在各种访问日志中
hanxiV2EX
2023-08-07 05:18:57 +08:00
没加盐?
sparklee
2023-08-07 09:26:46 +08:00
无问题
LandCruiser
2023-08-07 09:32:24 +08:00
逻辑是这样的,如果你的电脑都已经被第三方掌控,那一切安全措施都没有太大意义了。
tairan2006
2023-08-07 09:33:55 +08:00
用 GET 比较离谱
iCyMind
2023-08-07 10:22:03 +08:00
没加盐的话,是不是所有能访问到日志的豆瓣开发人员都能知道用户的账号密码?
php0yyds
2023-08-07 10:28:56 +08:00
@iCyMind 日志关于密码这一项,一般都会在打日志的时候进行加密
1156909789
2023-08-07 10:28:57 +08:00
吓得我赶紧改密码,要是豆瓣被脱裤了的话,我的其他平台密码都一样就完蛋
iCyMind
2023-08-07 10:29:52 +08:00
还有 google analysis 之类的工具,也会保存 url 的吧?
php0yyds
2023-08-07 10:30:11 +08:00
@1156909789 存储肯定是加密🔐处理的,只是传输的时候说明文的,不过有 TLS ,问题不大
1156909789
2023-08-07 10:30:43 +08:00
唉,看错,原来是登录接口呀
SvenWong
2023-08-07 10:37:12 +08:00
@halberd #3 涨芝士🧀了,一直以为 url 后面的都不会被加密,之前抓包的也没留意这个问题,又去看了一遍科普文章。
DCjanus
2023-08-07 11:07:15 +08:00
理论上有 HTTPS ,明文密码问题不大。但是实际上这扩大了被攻击面:

大型网站总有修不完的 XSS ,用户电脑被人攻击了之后一个 history API 就可以拿到密码;
客户端到 CDN 一般是 HTTPS ,但 CDN 到源站可能还是 HTTP ,被运营商里的蛀虫抓包可能就会被批量卖信息;
链路上的每层反向代理有任一一环忘了日志敏感信息加密;
cogear
2023-08-07 14:17:00 +08:00
冷知识,HTTPS 协议 URL 部分会加密的,跟放在 post body 中没有区别。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/962890

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX