¿Existe algún riesgo al rellenar previamente un nombre de usuario desde una cadena de consulta en una página de inicio de sesión?

2

Por lo tanto, tenemos una página de inicio de sesión bastante estándar en una aplicación web.

Queremos hacer un pequeño cambio para que si un usuario se equivoca con la contraseña, la página se vuelva a cargar (como lo hace actualmente), pero se mantenga el nombre de usuario para que el usuario no tenga que ingresarlo nuevamente.

La forma más fácil de hacerlo es simplemente poner el nombre de usuario en la cadena de consulta y vincularlo a la entrada del nombre de usuario.

¿Hay algún riesgo asociado con este enfoque?

Lo he estado pensando y no puedo pensar en cómo podría explotarse (a excepción de una URL modificada que se envía a los usuarios que rellenan previamente con un nombre de usuario diferente, pero aún así, no puedo ver cómo podría ser explotado aún más).

    
pregunta evilbhonda 04.01.2018 - 09:52
fuente

1 respuesta

2

El único problema de seguridad que puedo ver con esto es que sus nombres de usuario aparecerán en todo tipo de registros y en el historial del navegador de sus usuarios. Sin embargo, para la mayoría de las aplicaciones, eso realmente no sería un problema.

Además, es posible que desee excluirse del envío de encabezados de remitentes desde la página de inicio de sesión. De lo contrario, si vinculas a sitios externos, podrías filtrar nombres de usuarios. Como usuario, no quiero que el sitio A sepa quién soy en el sitio B.

Como señala Mathew , se aplica toda la consideración habitual al manejar datos que no son de confianza, por lo que debe pensar XSS etc.

(Si esta es una buena manera de hacerlo con ASP.NET es un problema aparte del que no sé la respuesta)

    
respondido por el Anders 04.01.2018 - 10:31
fuente

Lea otras preguntas en las etiquetas