一、“记住我”的功能不安全的地方
登录之后,让我们来看看cookies
如果你没勾选“记住我”的话,这些要命的信息是不会被cookie记录的,所以那个功能原本也只是单纯为了方便用户再访的。在图中,我的邮箱地址是赤裸裸的,但密码并非明文。然而不要高兴得太早,对着那串似乎坚不可摧的加密字符定睛一看……咦?等一下,这不是Base64编码吗!关于Base64编码,这是一种可以被完整解码的编码,这意味着你可以随便去哪个编码转换网站比如base64。
并不是所有人都把Base64当做“加密”,虽说它确实是一种合理代替ASCII的方法,但事实上这种编码的密码仅仅在刚一进入浏览器后就会立即转变为明文。你可能会质疑道 - 这能有多大问题?无论如何它只是存储在自己的浏览器里,它能怎样?那到底黑客能不能得到它呢?