age*_*ega 19 security passwords
假设我在一个经常访问的网站(当然是 https)的用户名文本框中输入了我的密码,然后在我注意到我在做什么之前按了 Enter。
我的密码现在是否以明文形式保存在某个日志文件中?我的错误怎么会被一个狡猾的歹徒利用?帮助我了解实际的安全影响,而不管它实际发生的可能性。
VL-*_*-80 18
这取决于站点认证系统的配置。如果它被设置为记录任何尝试 - 不是,它现在以纯文本形式出现在日志(文本文件或数据库)中。它看起来像这样:
12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);
或类似。
普通用户无法访问密码仍然是事实。仅适用于有权访问日志文件的人员。
它意味着什么后果?
因此,如果您在其他资源上拥有相同的电子邮件/用户名/密码,请立即更改。因为有可能会找到您的密码。日志可以在服务器上保留多年。
小智 5
正如您所说,webaplications 倾向于保留不成功登录尝试的日志。如果有人要查看日志,他可以将此特定登录尝试与您的另一个成功尝试(即通过 IP 地址)联系起来。
尽管我认为这不太可能发生,但您可以随时更改它。
| 归档时间: |
|
| 查看次数: |
1112 次 |
| 最近记录: |