Chrome está almacenando las solicitudes POST de inicio de sesión en su memoria

Navega tus respuestas
5

Estoy iniciando sesión en mi sitio usando Chrome (en Ubuntu). Incluso si cierro la sesión y cierro mi navegador, puedo ver el contenido de la solicitud POST de inicio de sesión (que contiene el nombre de usuario y la contraseña) mediante "Hexedit".

He visto una pregunta similar se hizo para IE , pero no estoy convencido con las respuestas proporcionadas. La mayoría de ellos suena como precauciones solamente. Busqué soluciones en línea. Alguien sugirió usar el cifrado en el lado del cliente, pero esa no es una solución que pueda buscar fácilmente.

El inicio de sesión de Gmail y Facbook no utiliza ningún cifrado del lado del cliente (puedo ver mi nombre de usuario y contraseña enviados en la solicitud POST sin cifrado); Pero no puedo ver ninguna solicitud POST guardada para Gmail y Facebook usando "Hexedit". Entonces, ¿supongo que hay algo que se puede hacer?

¿Cómo puedo evitar que los navegadores (no solo Chrome, sino en general) guarden el contenido de las solicitudes POST enviadas a mi sitio?

    
pregunta Moolshankar Tyagi 27.03.2017 - 09:06
fuente

1 respuesta

2

Realmente no tienes que preocuparte por esto. No es responsable de administrar la memoria virtual del navegador de un cliente.

Piensa en lo que te preocupa. La única forma de explotar esto es que un atacante esté en la máquina de un cliente y descargue la memoria del proceso. Si este es el caso, ya tienen múltiples métodos más fáciles de recolección de credenciales (registro de teclas, navegador en el medio, etc.).

Si realmente quisieras volverte loco, supongo que podrías hacer algo como esto:

  • Separe el campo 'contraseña' en varios elementos de formulario diferentes repartidos por la página
  • Asigne cada carácter a una variable diferente en la solicitud POST
  • Envíe todos los caracteres en un orden diferente y vuelva a ensamblarlos de su lado

No sé al 100% si eso funcionará, pero no creo que sea fácil de leer en la memoria sin una extracción manual.

    
respondido por el Nick Simonian 18.08.2017 - 14:27
fuente

Lea otras preguntas en las etiquetas

Sin exagerar, ¿cuáles son las implicaciones prácticas de seguridad de la legislación contra la privacidad S.J. Res. 34 para el usuario medio de Internet? ¿Vale la pena utilizar ModSecurity en una conexión de websocket de un solo punto de entrada?