我有个问题。为什么Gmail会显示一条消息,例如The email and password that you entered don't match其中一个凭据错误,例如用户名或密码。他们为什么不抛出错误,而这些错误对于用户来说很容易理解:
如果用户名是有效的,但不是密码,那么它应该抛出类似的信息Password does not match.。
如果密码有效但用户名无效,则应抛出类似的信息Username does not match.。
为什么他们The email and password that you entered don't match在每种情况下都会发出一条消息?
在引发错误消息方面是否存在更具体的安全性问题?
实际上,新的Gmail登录页面无法执行此操作-它要求您在步骤1中输入用户名,然后在步骤2中输入密码。
如果您揭示一个帐户是否存在,则说明您正在打开一个用户名枚举漏洞。这对于攻击者用于密码猜测或网络钓鱼攻击很有用:
作为攻击者,如果我可以使用您的登录名或忘记密码页面将我的列表从10000个目标限制为1000个目标,我会这样做。
请注意,某些系统(例如Gmail或Facebook)的用户名被认为是公开的,因此不会被归类为特别高风险的漏洞。
但是,如果您运行“ John's Dating Site”(或Ashley Madison),并且Alice可以通过尝试使用Bob的电子邮件作为用户名的登录表单来查找她的丈夫Bob是否是成员,那么您的隐私问题就很大。在这里有趣地写:您的事务从来都不谨慎-Ashley Madison总是公开客户身份。他们几乎修复了用户枚举错误,但并没有完全解决。
此外,您提出的第二点是不可能的。如果用户输入了无效的用户名,但输入了有效的密码,则身份验证系统将无法确定该密码是正确的,因为它不知道为其验证哪个用户名。即使可以,但要透露至少一个用户具有该密码也将是安全问题。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句