私は何人かの人々のコンピューターを手伝い、修理してきました。これらの人々の1人が、自動フォームフィールドにパスワードを保存することの安全性について私に尋ねました。コンソールでの単純なjQuery呼び出しからパスワードを取得する方法についての簡単なトリックを紹介しました。いくつかのウェブサイトで作業している間、私は保存されたパスワードが何であるかを見つけるためにこのトリックの使用を防ぐ方法を見つけようとしていました。
わからない場合に何について話しているのかを理解するには、次のことを試してください。
- jqueryを使用してWebサイトに移動し(またはサイトをjquerifyして)、自動フォーム入力をオンにするか、パスワードフィールドに入力します。
- 要素を検査して、パスワードIDフィールドまたはjqueryでフィールドを呼び出す何らかの方法を表示します
- コンソールで次のようなものを実行し
$('#password').val()
、パスワードが表示されるのを確認します。
Web開発者として、自分のサイトでこれを使用しないようにする一方で、サイトコード内のフィールドの値を取得するためにそれを使用できるようにする方法があるかどうか疑問に思っています。
ありがとう。
編集
ログインが自動入力されたFacebookから(セキュリティのために黒く塗りつぶされています)
次に、ページをjquerifyし、$jq('#pass').val()
何も変更せずにコンソールで実行した後(セキュリティのためにパスワードを黒く塗りつぶします)
使用事例
ユーザー1は公共のコンピューターを使用しており、ブラウザーがログイン情報を保存できるようにします
ユーザー1が離れ、ユーザー2が同じサイトに移動します。ブラウザはログイン情報を自動入力します
ユーザー2がコマンドを実行し、パスワードにアクセスします