¿Una contraseña simple en la URL es una amenaza potencial para la seguridad? [duplicar]

Navega tus respuestas
14

De ninguna manera soy un experto en seguridad, de hecho, solo soy tu Joe promedio con una pregunta.

Estaba en el sitio web de mi seguro de automóvil, me registré y cuando ingresé vi mi contraseña, no encriptada, a la vista en la barra de direcciones.

Ahora esto (para mí) ya es una amenaza (alguien podría verlo por encima del hombro si estuviera en un espacio público) pero quería saber si es un signo revelador de una falla más profunda en la seguridad de este sitio web.

Si lo es (digamos que puede ser un signo que almacenan, o al menos comunique mi contraseña, sin cifrar) ¿cómo puedo defenderme? debo pedirles más información (pero Dudo que alguna vez me contesten).

Todas mis contraseñas son diferentes, pero siguen un patrón común. ¿Debo preocuparme y cambiar todas mis contraseñas y el patrón?

Esto NO es un duplicado de: ¿Se deben pasar datos confidenciales en la cadena de consulta?

En esta pregunta, se pregunta si es bueno pasar información en la URL MIENTRAS DESARROLLA UN SITIO WEB o no. El mío pregunta qué hacer SI TE GUSTA DE TAL COMPORTAMIENTO

Esta pregunta puede verse como un seguimiento, pero no hace la misma pregunta

    
pregunta zakkos 15.11.2016 - 18:36
fuente

1 respuesta

23

Este es un grave problema de seguridad. Las URL nunca deben contener información confidencial.

  • Las URL aparecen en tu historial de navegación. Así que incluso después de cerrar sesión será trivial acceder a su cuenta para cualquier persona que use la misma computadora.
  • Comúnmente, los servidores web están registrando solicitudes entrantes. Además, los cortafuegos o servidores proxy involucrados en el procesamiento de sus solicitudes pueden mantener sus propios archivos de registro. En ese caso, sus credenciales aparecerán en todos estos registros, lo que aumentará el riesgo de una fuga.
  • Si le muestran su contraseña en texto sin formato, probablemente significa que también están almacenando sin daños. Eso significa que, si alguna vez se produce una violación de su base de datos, se revelará su contraseña.
  • Muchos complementos del navegador envían las URL visitadas a sus servidores, por ejemplo. para compararlos con una lista de sitios de malware o simplemente para espiarte . Ya es bastante malo que puedan rastrear el comportamiento de navegación de las personas. Con las credenciales en la URL es aún peor.
  • Fugas de los remitentes . Si incluyen análisis (estoy seguro de que lo hacen) o incrustan publicidad, o cada vez que haga clic en un enlace externo, su navegador normalmente envía un encabezado Referer que contiene la URL anterior, por lo que revela sus credenciales a todas estas partes.
  

¿Debería preocuparme y, por lo tanto, cambiar todas mis contraseñas y patrones?

Sí, es un defecto tan evidente que no debería confiar en sus sistemas. Adherir a su contraseña no vale la pena correr el riesgo. Es su responsabilidad arreglar la aplicación y, como usuario, no hay mucho que pueda hacer al respecto. Por favor, infórmeles sobre el problema y evite utilizar sus servicios.

    
respondido por el Arminius 15.11.2016 - 18:50
fuente

Lea otras preguntas en las etiquetas

Token CSRF en solicitud GET ¿Cómo puede alguien acceder al "sistema operativo de puerta trasera" de Intel, MINIX?