blob: d9c6a42d520ccb825c6fcb52ae753b8695e01f55 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
---
title: 不安全的密碼
slug: Web/Security/Insecure_passwords
tags:
- 安全性
- 密碼
- 網頁
- 風險
translation_of: Web/Security/Insecure_passwords
---
<p class="summary">提供 HTTP 的登入表單非常危險,因為目前有很多已知的用戶密碼擷取手法。竊聽者可以透過側錄該網路或修改傳輸頁面進行大量的惡意攻擊,並直接竊取用戶憑證或密碼。<span class="seoSummary">本頁將詳細說明 Firefox 用以警示用戶與開發者有關不安全的密碼及密碼竊取風險的安全機制。</span></p>
<p><a href="https://mdn.mozillademos.org/files/5951/insecure_page2_with_arrows_cropped.jpeg" title="https://en.wikipedia.org/wiki/HTTP_Secure">HTTPS</a> 通訊協定,旨在保護用戶的資料於傳輸時不會遭到竊聽與竄改,並保護其機密性與原始完整性。負責處理用戶資料的網站應使用 HTTPS 保護其用戶不受惡意駭客攻擊。如果沒有使用 HTTPS,竊取諸如登入憑證之類的用戶資訊是小事一樁。著名的 <a href="https://codebutler.github.io/firesheep/" title="http://codebutler.com/firesheep/">Firesheep</a> 附加套件曾示範過此種攻擊方式。</p>
<p>要處理這個問題,請安裝並設定網站伺服器的 SSL/TLS 憑證。目前有許多免費與付費的憑證供應商。如果是使用雲端,雲端服務商可能提供了啟動 HTTPS 的方法。</p>
<h2 id="Firefox_密碼安全性指標">Firefox 密碼安全性指標</h2>
<p>為提醒上述風險,Firefox 實做了許多警告機制:</p>
<ol>
<li>
<p>Firefox 51 以後會在網址列的左方顯示一個紅色劃叉的鎖頭警告標示,如下圖所示。</p>
<p style="text-align: center;"><img alt="鎖頭標示" src="https://support.cdn.mozilla.net/media/uploads/gallery/images/2015-11-17-12-13-18-2faa61.png" style="height: 25px; width: 25px;"></p>
</li>
<li>
<p>Firefox 52 以後會在任何不安全表單的 URL 欄位與密碼區域清楚呈現警告:</p>
<p style="text-align: center;"><img alt="警告" src="https://support.cdn.mozilla.net/media/uploads/gallery/images/2017-04-21-23-52-53-ba340d.png" style="height: 133px; width: 328px;"></p>
</li>
<li>
<p>Firefox 52 以後還會禁止在不安全表單自動填入密碼。用戶依舊可以藉由下拉列表,填入已存登錄的資訊。</p>
</li>
<li>
<p>不安全表單的警告,也能從所有 Firefox 發行的開發者主控台之安全窗格找到。詳請參見下節敘述。</p>
</li>
</ol>
<h2 id="網頁主控台訊息"><strong>網頁主控台訊息</strong></h2>
<p>本區塊敘述為了應對不安全的密碼,於 Firefox 開發者工具中顯示在網頁主控台的安全性訊息。</p>
<h3 id="透過_HTTP_提供登入表單">透過 HTTP 提供登入表單</h3>
<p>即使表單是傳送到 HTTPS 網址,用戶的登入表單仍未受保護,因為攻擊者可以修改用戶接收到的頁面。例如,攻擊者可插入鍵盤側錄腳本,導致用戶輸入的資料外洩,或變更表單目的地為攻擊者控制的伺服器。網路主控台的安全面板會警告開發者及用戶,並標示這項安全性問題。</p>
<p style="text-align: center;"><img alt="不安全的登入欄位,會顯示於網頁主控台及密碼欄位中的對應警告。" src="https://mdn.mozillademos.org/files/14783/Insecure_Password_Console_Contextual_sm.png" style="height: 566px; width: 790px;"></p>
<div class="note">
<p><strong>備註</strong>:在 HTTP 文件中嵌入 HTTPS 登入頁面也不安全 — 攻擊者可以變更頁框超連結以指向惡意網站。</p>
</div>
<h3 id="在表單行為中使用_HTTP_網址"><strong>在表單行為中使用 HTTP 網址</strong></h3>
<p>在這種情況下,任何用戶輸入的資料都以明文傳送。對於任何側錄該網路的人,從資料送出到抵達網頁伺服器,用戶密碼都清楚可見。</p>
<p style="text-align: center;"><img alt="不安全的登入表單行為,會顯示於網頁主控台及密碼欄位中的對應警告。" src="https://mdn.mozillademos.org/files/14785/Insecure_Action_Password_Console_Contextual_sm.png" style="height: 566px; width: 790px;"></p>
<h2 id="重複使用相同密碼">重複使用相同密碼</h2>
<p>網站有時會需要用戶名稱與密碼,但並不實際儲存敏感資料。例如,新聞網站可能會儲存用戶想要再次閱覽的文章,但不會儲存其它用戶資料。上述範例的網頁開發者可能較無動機保護他們的網站與用戶憑證。</p>
<p>不幸的是,<a href="https://www.lightbluetouchpaper.org/2011/02/09/measuring-password-re-use-empirically/">重複使用相同密碼是非常危險的</a>。用戶在多個網站皆使用相同密碼(如新聞網站、社群網站、電子信箱等)。因此,即使非法存取貴網站的用戶名稱與密碼並不對您構成嚴重問題,對於在不同網站(如網路銀行)使用相同名稱與密碼的用戶而言,卻會造成嚴重威脅。攻擊者愈來愈聰明,他們會從一個網站竊取用戶名稱與密碼的配對,並在更有利可圖的網站上重複嘗試。</p>
<h2 id="參見">參見</h2>
<ul>
<li class="entry-title"><a href="https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/">No More Passwords over HTTP, Please!</a> — detailed blog post with more information, and FAQ.</li>
</ul>
<ul>
<li class="entry-title"><a class="external" href="https://blog.mozilla.org/tanvi/2016/01/28/no-more-passwords-over-http-please/">No More Passwords over HTTP, Please!</a> — 提供詳細資訊和常見問題的部落格文章</li>
</ul>
<p class="entry-title">{{QuickLinksWithSubpages("/en-US/docs/Web/Security")}}</p>
|
