假设我在一个经常访问的网站(当然是 https)的用户名文本框中输入了我的密码,然后在我注意到自己在做什么之前按下了回车键。
我的密码现在是否以明文形式存放在日志文件的某个地方?狡猾的不法分子如何利用我的错误?无论实际发生的可能性有多大,请帮助我了解实际的安全隐患。
答案1
这取决于站点的身份验证系统的配置。如果设置为记录任何尝试 - 那么是的,它现在以纯文本形式记录在日志(文本文件或数据库)中。它可能看起来像这样:
12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);
或类似的东西。
普通用户仍然无法获取密码。只有那些有权访问日志文件的人才能获取密码。
这意味着什么后果?
- 如果服务器受到威胁——那么黑客理论上就会获得您的纯文本密码。
- 网站管理员可能会定期查看日志文件并意外找到您的密码。然后他可以找到此记录来自哪个 IP 地址,因此理论上他可以找到您的用户名和电子邮件(因为他可以访问数据库)。
因此,如果您在其他资源上有相同的电子邮件/用户名/密码 - 请立即更改。因为您的密码很有可能被发现。日志可以在服务器上保留数年。
答案2
正如您所说,Web 应用程序往往会保留失败登录尝试的日志。如果有人查看日志,他可以将这次特定的登录尝试与您的另一次成功登录尝试联系起来(即通过 IP 地址)。
尽管我不认为这种情况会发生,但你总是可以改变它。