Todavía me estoy confundiendo con los temas de seguridad. Por el momento, las ventajas y desventajas de algunos de los métodos de autenticación aún no están muy claras. Según la hoja de referencia de autenticación de OWASP , la contraseña solo debe transmitirse por tls debido a la siguiente declaración:
"Si no se utiliza TLS para la página de inicio de inicio de sesión, un atacante puede modificar el formulario de inicio de sesión".
Mi primera pregunta es: si la declaración anterior está implícita automáticamente cada vez que la contraseña no se transmite a través de TLS / SSL. Debido a que normalmente no hay TLS / SSL significa que no hay confidencialidad, integridad y protección de repetición para esta Contraseña, pero no entiendo qué tiene que ver el formulario Action. una parte del hecho de que existe la posibilidad de ver la contraseña en algún lugar.
Mi segunda pregunta es: ¿Es posible en la práctica que un atacante manipule el formulario de inicio de sesión? ¿Cómo puede el atacante manipular el formulario de inicio de sesión si no tiene acceso a los datos del servidor ...? porque, por ejemplo, si toda la página está programada en php, ¿cómo podría el atacante hacer eso? Podrías darme un ejemplo. Espero haber sido más precisos.