[crazzy]

Citat:

Ursprungligen postat av WoxAnYv

Troligen för att du inte kan copy-pastea lösenordsfält. Och en engångskod är ju annars något som man gärna skulle vilja manipulera med hjälp av xss eller liknande. Tänk vad roligt man kunde ha som ondsint människa ifall man lyckades kopiera de fälten rätt och slätt för att de inte är av typen password.

Högerklicka på fältet -> "Inspect element", då får du fram det i firebug. Sedan petar du in ett nytt id, typ "h4x" eller något sånt. Sen skriver du i konsollen:

Kod:

alert(document.getElementById('h4x').value);

Vips har du vad som nu stod där. Annars kan man ju i firebug byta type till "text".
Kan göra sjukt mycket med hjälp av firebug.

[SimonP]

Citat:

Ursprungligen postat av crazzy

Kan göra sjukt mycket med hjälp av firebug.

Jag tror iofs att dom flesta här redan förstår att det går att kringå password fältet på X antal olika sätt, t.ex med en rad javascript i URL-fältet, Firebug behövs ej då.

IT-säkerhet handlar mkt om att försvåra för informationsstöld, bara för att en funktion inte ger ett totalt skydd innebär det inte att man ska strunta i att lägga in den.

[JLE]

Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html

[crazzy]

Citat:

Ursprungligen postat av SimonP

Jag tror iofs att dom flesta här redan förstår att det går att kringå password fältet på X antal olika sätt, t.ex med en rad javascript i URL-fältet, Firebug behövs ej då.

IT-säkerhet handlar mkt om att försvåra för informationsstöld, bara för att en funktion inte ger ett totalt skydd innebär det inte att man ska strunta i att lägga in den.

Givetvis ska man inte strunta i den, men för dem som kanske inte vet är det bra att tala om hur man går förbi något så dem förstår ungefär vad det skyddar mot.

OT: Nu blir jag ju sugen på att koda ihop säkraste möjliga inloggningssystemet....

[SimonP]

Citat:

Ursprungligen postat av JLE

Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html

Japp, Schneier har tappat stinget de senaste åren, han har gjort en del andra dumma uttalanden också, men det var bra att han erkände att han hade fel i alla fall.

Citat:

So was I wrong? Maybe. Okay, probably. Password masking definitely improves security

[tartareandesire]

Citat:

Ursprungligen postat av SimonP

Det märks att Jakob Nielsen inte jobbat med IT-säkerhet, hade han gjort det han han nog inte förslagit detta. Han jobbar med användarvänlighet: http://www.useit.com/jakob/

Fält som är "password"-definerade skyddar även mot CTRL+C.

Inte för att klaga men jag är själv utvecklare men anser ändå att användarvänlighet är bland det absolut viktigaste i det yrket. Trots det ser jag det inte som särskilt användarvänligt att använda klartext för lösenord. De risker det resulterar i ställer till betydligt mer besvär för användarna än nyttan av att se lösenordet i klartext.

[SimonP]

Citat:

Ursprungligen postat av tartareandesire

Inte för att klaga men jag är själv utvecklare men anser ändå att användarvänlighet är bland det absolut viktigaste i det yrket. Trots det ser jag det inte som särskilt användarvänligt att använda klartext för lösenord. De risker det resulterar i ställer till betydligt mer besvär för användarna än nyttan av att se lösenordet i klartext.

Jag håller med dig, det är extremt viktigt med användarvänlighet, men just i detta fall ställer förslaget till med mer skada än nytta. Dessutom klarar moderna webbläsare av lösenordhanteringen själva, om användaren önskar ett enklare sätt att logga in.

[Robert]

En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång...

[crazzy]

Citat:

Ursprungligen postat av Robert

En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång...

+1 på den, FRUKTANSVÄRT IRRITERANDE...
Därför sätter jag ALDRIG fokus på något via pageload.

[rocky]

Det finns ett tillägg till firefox som gör att alla maskerade lösenord syns i klartext, väldigt skönt då jag ändå sitter ensam.