¿Mi contraseña está comprometida?

1

Acabo de intentar restablecer mi contraseña en radioooooo.com.

Realmente no presté atención a las advertencias de Firefox porque estoy acostumbrado a verlas en nuestra intranet en el trabajo, pero creo que al hacer clic en el botón "Aceptar" mi contraseña podría haberse transmitido de forma clara.

Esto es lo que hice:

  • Pidió restablecer la contraseña
  • Recibí un enlace por correo electrónico para restablecer mi contraseña, que tiene este aspecto: http://radiooooo.com/#reset/XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
  • ingresó una nueva contraseña
  • Hizo clic en Aceptar, que parecía haber enviado una OPCIÓN y un POST a las URL de http

Aquí están las solicitudes:

OPTIONS XHR http://admin1.radiooooo.com/api/user/resetPassword [HTTP/1.1 200 OK 299ms]
POST XHR http://admin1.radiooooo.com/api/user/resetPassword [HTTP/1.1 404 Not Found 514ms]

No estoy familiarizado con la consola de Firefox pero el POST no parece tener un cuerpo, lo que me hace pensar que mi contraseña no se envió realmente. Aquí está el encabezado:

Accept*/*
Accept-Encoding gzip, deflate
Accept-Language en-US,en;q=0.5
Connection keep-alive
Content-Length 71
Content-Type application/json
DNT 1
Host admin1.radiooooo.com
Origin http://radiooooo.com
Referer http://radiooooo.com/User-AgentMozilla/5.0 (X11; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0

Y el encabezado de la respuesta:

Cache-Control no-cache, no-store, max-age=0, must-revalidate
Connection keep-alive
Content-Encoding gzip
Content-Type application/json;charset=UTF-8
Date Thu, 22 Mar 2018 19:22:36 GMT
Expires 0
Pragma no-cache
Servernginx/1.2.1
Transfer-Encoding chunked
Vary Accept-Encoding
X-Content-Type-Options nosniff
X-Frame-Options DENY
X-XSS-Protection1; mode=block
    
pregunta little-dude 22.03.2018 - 19:53
fuente

2 respuestas

4

Sí, la contraseña fue enviada. Desde el encabezado de longitud del contenido se puede decir que el cuerpo no estaba vacío.

Firefox muestra los datos de POST en una pestaña separada cuando selecciona la solicitud.

    
respondido por el Geir Emblemsvag 22.03.2018 - 20:07
fuente
1

Mientras se restableció su contraseña, según la publicación de @GeirEmblemsvag anterior, debe restablecerla mediante HTTPS. Como sabrá, restablecer (o transmitir) una contraseña hace que esté disponible para escuchas ilegales. Es más seguro simplemente navegar a ese sitio a través de HTTPS y restablecer la contraseña nuevamente.

    
respondido por el Adonalsium 22.03.2018 - 20:39
fuente

Lea otras preguntas en las etiquetas