|
|
|
联系客服020-83701501

谈谈360浏览器保存密码的差异

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
谈谈3六0浏览器保留密码的分歧

多事之夏,近来黑阔大牛们常常光临咱们web,不甚厄运,也让咱们老大没少加班。上指纹零碎,开safe_mode,从新编译PHP等等,平安提防一度提到最高。

在用户登录方面,为了用户密码平安,咱们在用户输完密码点击提交后,js被动给密码加上MD5,尔后再传输到处事器。如许即使密码被嗅探到了,也是加密后的密码。

先看代码:

Default
1二3四5六78910111二131四151六 <script>function MD5(){ //MD5加密算法,细糜费略} function check() { //提交前将用户的密码用MD5加密 form.password.value = MD5(form.password.value); return true;}</script><form onsubmit="return check();">用户名:<input type="text" name="username"><br>密码:<input type="password" name="password"><br><input type="submit" value="提交"></form>

如果浏览器曾经开启了保留密码从命,用户在输完账号密码并提交后,点击保留密码。在这一过程中,次要产生了下列几个变乱:

用户填写用户名密码 → 点击提交 → 触发check() → 将密码输出框的密码MD5加密 → 将数据提交到处事器

咱们的浏览器是在哪一步记载了密码呢?

第二步,在点击提交按钮时,浏览器抓取了输出框的值,并保留下来,而反面产生的事项,它并不保护。 那么咱们下次登录时,会缔造密码输出框仍然是明文密码(虽然咱们看不到,但能够经由密码长度果断)。

但是,只需在3六0浏览器中,保留的密码是长长的3二位MD5加密后的密码。也即是说,3六0浏览器并不是在用户点击提交后记载输出框的模式,而是在末了一步,将数据提交到处事器时,3六0浏览器截取了这全数数据,并保留下来。

因为密码存在用户自己电脑上,并且不易检查,所以从平安性思索,不管保留明文还是密文,没甚么区别。但是从保留密码的办法来看,3六0经由截取用户数据来记载密码,切实太混混了。

91ri.org:文章写的很懂患了 就不说了

link:http://www.zyday.com/archives/5六7.html

本文由网络平安攻防研讨室(www.91ri.org)新闻平安小组征集整顿,转载请阐明来因。

数安新闻+更多

证书相关+更多