一个发现,豆瓣 web 端账号密码明文写在 url 里

2023-08-07 01:03:00 +08:00
 lightyisu
今日闲来无事,想看看豆瓣的 Web 登录页面,发现用账号和密码竟然明文写在 url 里发送
对网络这块只懂皮毛,我感觉这要走第三方代理的话留下记录或者被抓包什么的这也太裸奔了点
如下登录链接 https://accounts.douban.com/j/mobile/login/basic?remember=true&name=xxxx&password=xxxxxx
不过豆瓣 web 端也是没人管的感觉
4652 次点击
所在节点    分享发现
23 条回复
lisongeee
2023-08-07 17:41:23 +08:00
虽然但是,这个是登录接口 post-xhr 调用,只不过把参数放在 url 上

另外就算是 get 只要类型是 xhr/fetch ,就不会产生浏览器历史记录

会产生浏览器历史记录的是以前那种 sso 重定向登录系统
bertonzh
2023-08-07 17:47:45 +08:00
大家都说有 HTTPS 所以没问题,其实这是不对的。
据我见过的很多数后端服务(的一些日志中间件),会在日志里面打印 URL ,这样的话密码就出现在日志里面了。
而一般 POST 请求的数据,除非专门打印,是不会出现在日志里面的。

日志的安全级别肯定比用户密码低得多。
sampeng
2023-08-07 18:20:31 +08:00
不能说完全没问题。只能说大致可以认为是安全的。因为攻击面比较小。
唯一剩下的一种攻击方式就是中间人了。很多可以代理但能看到 https 的工具就是基于这个原理,有些公司的网络监控也差不多这个意思。
颁发一个证书,让你信任。然后你发的他能解,然后代理出去。回来后他发的你也能解。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/962890

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX