他们说登录名很好地提交了加密
那还不够好。如果显示登录表单的页面本身未加密,则是否将登录表单提交到HTTPS目的地也没关系。
实际上,在Mozilla自己的文档中对此进行了说明。
我相信这就是您所看到的:
这是确保安全的要求:
另一种可能性是,他们将HTTPS iframe嵌入到HTTP文档中,这也遇到了类似的问题。
为什么?由于登录表单本身不受保护,因此无法阻止攻击者修改所述表单。这意味着他们可以更改表格并将其提交到非HTTPS站点,甚至完全提交给另一个网站!他们还可以注入脚本来捕获您的按键并在您提交登录之前将其发送到攻击者控制的站点。
此后,如果在非HTTPS站点上检测到登录表单本身,则Firefox将显示警告,无论其提交给的是什么。
这是一个非常普遍的问题,很多站点运营商(包括您希望非常安全的站点,例如银行)似乎都不知道(或者根本不在乎)。特洛伊·亨特(Troy Hunt)的博客很好地探讨了这个问题,其历史可以追溯到五年前。当然,今天这仍然是一个普遍的问题。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句