一旦我登录到我的网站(聊天室),网址中包含的uid =名为myUsername &通=为mypass,并在那里停留下去,而且永远不会,甚至边聊天..用户名和密码
客人可以嗅探我地址栏中的内容,特别是这是一个与许多其他用户的聊天室。 客人可以使用任何种类的工具或方法来窃取这些信息吗?如果客人想要嗅探它,他将如何做(一步一步地)... 我已经知道我应该将方法更改为帖子,但这也适用于我的研究论文,关于攻击者即使不在同一网络上,也可以找出用户的地址栏。 请尽可能帮忙...
是的。他们可以通过几种方式发现这些信息。如果聊天室支持发送图像或链接,他们可以向您发送他们控制的机器上的图像或页面的URL。当您的浏览器请求该项目时,它将通过包含引荐网址的标头进行传递。在这种情况下,它将是页面的URL和它的参数。
另一种方式是,如果他们有权访问您承载服务的服务器上的访问日志。通常,他们可以看到参数。
我确定有可能是其他人。
他们可以使用一种方式而无需访问服务器?而不是使用链接,因为我不允许聊天中的链接 – 2013-04-04 03:09:18
为什么不使用history.replaceState更新网址而无需重新加载页面?
window.history.replaceState(statedata, title, YOUR_URL_WITHOUT_LOGIN_INFO);
你可以调用这个函数时文件已准备就绪后,打开新的窗口
是吧'http'或'https'? – Lemurr 2013-04-04 02:58:45
通过聊天向用户发送链接。如果用户关注它,将会有一个[referer header](http://en.wikipedia.org/wiki/HTTP_referer),其中包含用户来自的URL。 – Blender 2013-04-04 02:58:58
这不是一个安全的连接,但链接不打开在网站...用户需要打开一个新的选项卡,攻击者可以做的任何其他事情? – 2013-04-04 03:07:59