WN
Sidan 3 av 4 12 3 4
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Klientsidans teknologier, design och grafik (https://www.wn.se/forum/forumdisplay.php?f=12)
-   -   Varför maskerar du lösenordsfältet? (https://www.wn.se/forum/showthread.php?t=1037901)

crazzy 2009-09-12 03:01
Citat:
Ursprungligen postat av WoxAnYv (Inlägg 20321579)
Troligen för att du inte kan copy-pastea lösenordsfält. Och en engångskod är ju annars något som man gärna skulle vilja manipulera med hjälp av xss eller liknande. Tänk vad roligt man kunde ha som ondsint människa ifall man lyckades kopiera de fälten rätt och slätt för att de inte är av typen password.
Högerklicka på fältet -> "Inspect element", då får du fram det i firebug. Sedan petar du in ett nytt id, typ "h4x" eller något sånt. Sen skriver du i konsollen:
Kod:
alert(document.getElementById('h4x').value);
Vips har du vad som nu stod där. Annars kan man ju i firebug byta type till "text".
Kan göra sjukt mycket med hjälp av firebug.

SimonP 2009-09-12 09:19
Citat:
Ursprungligen postat av crazzy (Inlägg 20321668)
Kan göra sjukt mycket med hjälp av firebug.
Jag tror iofs att dom flesta här redan förstår att det går att kringå password fältet på X antal olika sätt, t.ex med en rad javascript i URL-fältet, Firebug behövs ej då.

IT-säkerhet handlar mkt om att försvåra för informationsstöld, bara för att en funktion inte ger ett totalt skydd innebär det inte att man ska strunta i att lägga in den.

JLE 2009-09-12 12:48
Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html

crazzy 2009-09-12 13:35
Citat:
Ursprungligen postat av SimonP (Inlägg 20321672)
Jag tror iofs att dom flesta här redan förstår att det går att kringå password fältet på X antal olika sätt, t.ex med en rad javascript i URL-fältet, Firebug behövs ej då.

IT-säkerhet handlar mkt om att försvåra för informationsstöld, bara för att en funktion inte ger ett totalt skydd innebär det inte att man ska strunta i att lägga in den.
Givetvis ska man inte strunta i den, men för dem som kanske inte vet är det bra att tala om hur man går förbi något så dem förstår ungefär vad det skyddar mot.

OT: Nu blir jag ju sugen på att koda ihop säkraste möjliga inloggningssystemet....

SimonP 2009-09-12 14:28
Citat:
Ursprungligen postat av JLE (Inlägg 20321688)
Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html
Japp, Schneier har tappat stinget de senaste åren, han har gjort en del andra dumma uttalanden också, men det var bra att han erkände att han hade fel i alla fall.
Citat:
So was I wrong? Maybe. Okay, probably. Password masking definitely improves security

tartareandesire 2009-09-12 16:08
Citat:
Ursprungligen postat av SimonP (Inlägg 20321385)
Det märks att Jakob Nielsen inte jobbat med IT-säkerhet, hade han gjort det han han nog inte förslagit detta. Han jobbar med användarvänlighet: http://www.useit.com/jakob/

Fält som är "password"-definerade skyddar även mot CTRL+C.
Inte för att klaga men jag är själv utvecklare men anser ändå att användarvänlighet är bland det absolut viktigaste i det yrket. Trots det ser jag det inte som särskilt användarvänligt att använda klartext för lösenord. De risker det resulterar i ställer till betydligt mer besvär för användarna än nyttan av att se lösenordet i klartext.

SimonP 2009-09-12 16:50
Citat:
Ursprungligen postat av tartareandesire (Inlägg 20321708)
Inte för att klaga men jag är själv utvecklare men anser ändå att användarvänlighet är bland det absolut viktigaste i det yrket. Trots det ser jag det inte som särskilt användarvänligt att använda klartext för lösenord. De risker det resulterar i ställer till betydligt mer besvär för användarna än nyttan av att se lösenordet i klartext.
Jag håller med dig, det är extremt viktigt med användarvänlighet, men just i detta fall ställer förslaget till med mer skada än nytta. Dessutom klarar moderna webbläsare av lösenordhanteringen själva, om användaren önskar ett enklare sätt att logga in.

Robert 2009-09-13 00:53
En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång... :(

crazzy 2009-09-13 05:06
Citat:
Ursprungligen postat av Robert (Inlägg 20321740)
En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång... :(
+1 på den, FRUKTANSVÄRT IRRITERANDE...
Därför sätter jag ALDRIG fokus på något via pageload.

rocky 2009-09-16 11:21
Det finns ett tillägg till firefox som gör att alla maskerade lösenord syns i klartext, väldigt skönt då jag ändå sitter ensam.


Alla tider är GMT +2. Klockan är nu 22:46.
Sidan 3 av 4 12 3 4
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson