Si la documentación de LastPass se mantiene actualizada con su código fuente, no tiene que preocuparse por los falsos positivos. (Es posible que desee preocuparse por los negativos falsos). Detectar un formulario que se envía a través de GET
o mailto:
es una tarea relativamente fácil.
Una solicitud GET
en HTTP (y HTTPS) es el método de solicitud más simple y extendido. Transfiere (casi) todos sus datos en la URL , es decir, en la misma línea de letras que se muestra en la barra de direcciones de su navegador. Enviar un formulario en una solicitud HTTP (S) GET
no es seguro: aquí están las posibles consecuencias .
El otro método, denominado mailto
, no es en realidad un método de solicitud HTTP (s), sino más bien una forma de enviar sus datos por correo electrónico en lugar de un navegador, HTTP y World Wide Web. El envío de datos confidenciales por correo electrónico en lugar de una solicitud HTTPS POST
puede ser incluso menos seguro .
Si realmente tiene que usar un sitio web que lo haga de cualquier manera, mejor a) evalúe sus opciones e intente elegir el competidor de un sitio; b) lea dos enlaces justo arriba y evalúe sus riesgos.
Con respecto a AJAX, es básicamente una capa de abstracción sobre HTTP (S). Podría implementarse fácilmente con las solicitudes GET
: Wikipedia tiene un ejemplo perfecto de esto. Por lo tanto, usar AJAX solo no es relevante para la pregunta.
Algunas aclaraciones:
-
Lo más probable es que los autores de LastPass estén conscientes del hecho de que hay (a veces, importantes) sitios web que no siguen las mejores prácticas de seguridad. Por lo tanto, LastPass no va a evitar el uso de esos sitios web a toda costa, simplemente resalta un problema y deja la carga de la toma de decisiones para el usuario.
-
A veces, de hecho, usar GET
o mailto:
es un poco (posiblemente, pero) menos de un problema. P.ej. cuando el mensaje de correo electrónico se envía a un dispositivo en
la red local, o cuando una solicitud GET
termina en el host local. LastPass no puede detectar esas excepciones de manera confiable, por eso solo muestra una advertencia.
-
Creo que si LastPass ha detectado el uso de esos métodos, puede estar bastante seguro de que, de hecho, se está utilizando cualquiera de esos métodos. Las herramientas del desarrollador (pestaña "red") pueden ayudar a rastrearlo.
-
Una vez más, usar solo AJAX no significa que el formulario no se envíe en una solicitud GET
. Podría ser de cualquier manera. Pretender que un sitio web no está usando GET
de solicitudes porque está usando AJAX es simplemente una tontería.