¿Por qué healthcare.gov excluye algunos caracteres especiales de las contraseñas?

Navega tus respuestas
0

El sitio no permite los siguientes caracteres: =? < > () "" / \ &

También limita la longitud máxima de la contraseña a 20 caracteres.

Esto me hace sospechar que podrían estar almacenados en texto sin formato y las entradas no se están limpiando correctamente. ¿Hay alguna otra razón para este tipo de restricción?

No creo que este sea un duplicado de ¿Por qué no se recomienda? ¿Caracteres en una contraseña? porque este es un sitio web bastante nuevo que, según mi conocimiento, no necesita integrarse con ningún sistema financiero antiguo.

    
pregunta user505255 25.09.2015 - 03:47
fuente

1 respuesta

1

Suponiendo que están almacenando sus contraseñas con hash, una justificación razonable para restringir el tipo de contenido que el campo de contraseña puede contener es un simple saneamiento de entrada.

Es probable que haya un conjunto de reglas que se apliquen en todas partes a menos que el desarrollador haga una excepción especial; de esa manera, el programador no tiene que recordar "activar las comprobaciones de seguridad" para un componente determinado; todo está desinfectado, excepto cuando tiene una justificación para hacerlo de otra manera.

Los caracteres que se filtran suelen asociarse con ataques de inyección de varias franjas, y no hay ninguna razón por la que permita esos caracteres en las contraseñas, y sin justificación para deshabilitar las comprobaciones de seguridad , se aplica la política predeterminada.

¿Por qué 20 caracteres? Probablemente fue el valor predeterminado en alguna biblioteca de componentes.

    
respondido por el tylerl 25.09.2015 - 08:02
fuente

Lea otras preguntas en las etiquetas

PHP mallware attack [duplicado] Seguridad del token SSO de autenticación - SAML, OpenID Connect