Доступ javascripts к полевому значению пароля, которое рассматривают угрозой безопасности?

Нет никакой разницы в наличии API проверки, поскольку любой вредоносный код JavaScript на странице может просто прослушивать нажатия клавиш и регистрировать пароль по мере его ввода в поле.

Сайты онлайн-банкинга иногда имеют интересные механизмы паролей, такие как запрос на ввод 2-го и 7-го символов вашего пароля через поле выбора (что затрудняет захват).

В конечном итоге ответственность за то, чтобы убедитесь, что весь привилегированный код (например, JavaScript в документе) безопасен. То же самое при установке расширений браузера, скриптов Greasemonkey или настольных приложений - вы должны проверять его из надежного источника.

Возможно, вы захотите использовать OpenID вместо поля пароля (как в самом StackOverflow) .

Междоменный JS-доступ уже запрещен, поэтому скрипты вне домена страницы входа не имеют доступа к полю вашего пароля.

Примите во внимание количество фрагментов JavaScript, включенных на вашу страницу входа, которые не контролируются вами.

Почему вы позволяете кому-либо размещать JS на вашей странице входа, который не контролируется ты?

Вы должны контролировать то, что находится на вашей странице входа, поэтому нет причин, по которым браузер должен вмешиваться.

Это интересный момент, но я считаю, что безопасность вашего веб-сайта такова, что это становится проблемой, и вы не будете включать какой-либо javascript, который находится вне вашего контроля.

Хотя я считаю, что браузеры, предоставляющие API для проверки пароля, - это хорошая идея, независимо от того, как вы к нему подходите, в какой-то момент некоторый код, находящийся вне вашего контроля, javascript или что-то еще, получит доступ к незашифрованному тексту пароля. Где провести черту?

Значит, мы должны запретить клиенту писать javascript, который раскрывает их собственные пароли? Я не вижу здесь проблемы.

Что бы вы сделали для веб-разработчиков, которые хотят иметь доступ к содержимому поля пароля? Он должен быть доступен.

Имеет ли смысл для веб-браузера предотвращать такого рода программный доступ к полям пароля и вместо этого предоставлять собственный API проверки пароля?

Нет. - это удобная функция, позволяющая не отображать текст во время его ввода. Это не предназначено в качестве какой-либо меры безопасности.

Все, что находится в окне браузера, полностью контролируется веб-сайтом. Он может легко подделать поле пароля или перехватить нажатие клавиш в окне, чтобы обойти любую возможную защиту .value для полей пароля. Нет никакого способа управлять этим, поэтому не было бы смысла пытаться запретить доступ к полям пароля.

Более того, это нарушило бы несколько очень полезных функций полей пароля, например, возможность клиентского скрипта проверять, что вы ввели нетривиальный пароль при регистрации (и предупреждать вас, например, об использовании того же пароля, что и ваше имя пользователя), или наличие системы входа на основе клиентского побочный скрипт, хэширующий пароль перед его отправкой.

Учтите количество фрагментов JavaScript, включенных на вашу страницу входа в систему, которые не контролируются вами (аналитика, средства отслеживания страниц, размещенные сценарии в облаке).

0, если только вы не делаете это совершенно неправильно. Вам нужно прекратить это.

Любой сценарий, который вы включаете на свою страницу, имеет полный доступ к сценарию всего вашего сайта . Скрытие введенного пароля от мошеннического сценария, выполняемого в вашем контексте безопасности, совершенно бесполезно, учитывая, что он может, скажем, перетащить iframe в innerHTML документа с формой удаления учетной записи в нем, затем имитируйте щелчок по кнопке отправки. Или регистрируйте каждое нажатие клавиш на сайте.

Если вы включаете чей-то скрипт на свою страницу, вы фактически предоставляете им доступ администратора, так что вы лучше им доверяете. Размещение трекера или рекламного скрипта на сайте, на котором есть что-либо важное, - это акт патологического оптимизма.

Да, Stack Overflow включает скрипт с google-analytics.com. И да, Google мог бы, если бы захотел, включить код в этот скрипт, чтобы все отредактировали все свои ответы, чтобы сказать «мне нравится низ, лол», или заставить администраторов удалить все. Может, и не станут, если сегодня у них хорошее настроение. Тебе повезет?

---

Мне нравятся задницы, лол

s на своей странице, вы фактически предоставляете им доступ администратора, поэтому вы им лучше доверяете. Размещение трекера или рекламного скрипта на сайте, на котором есть что-либо важное, - это акт патологического оптимизма.

Да, Stack Overflow включает скрипт с google-analytics.com. И да, Google мог бы, если бы захотел, включить код в этот скрипт, чтобы все отредактировали все свои ответы, чтобы сказать «мне нравится низ, лол», или заставить администраторов удалить все. Может, и не станут, если сегодня у них хорошее настроение. Тебе повезет?

---

Мне нравятся задницы, lol

s на своей странице, вы фактически предоставляете им доступ администратора, поэтому вам лучше им доверять. Размещение трекера или рекламного скрипта на сайте, на котором есть что-либо важное, - это акт патологического оптимизма.

Да, Stack Overflow включает скрипт с google-analytics.com. И да, Google мог бы, если бы захотел, включить код в этот скрипт, чтобы все отредактировали все свои ответы, чтобы сказать «мне нравится низ, лол», или заставить администраторов удалить все. Может, и не станут, если сегодня у них хорошее настроение. Тебе повезет?

---

Мне нравятся задницы, lol

если они захотят, включите в этот скрипт код, чтобы все отредактировали все свои ответы, чтобы сказать «мне нравится низ, лол», или заставьте администраторов удалить все. Может, и не станут, если сегодня у них хорошее настроение. Тебе повезет?

---

Мне нравятся задницы, lol

если они захотят, включите в этот скрипт код, чтобы все отредактировали все свои ответы, чтобы сказать «мне нравится низ, лол», или заставьте администраторов удалить все. Может, и не станут, если сегодня у них хорошее настроение. Тебе повезет?

---

Мне нравятся задницы, lol