背景
之前一直在想做登录操作的时候,为什么给用户的toast并不是那么明确,比如:
- “用户名未注册” / “用户名错误”等明确告知用户名有问题;
- “密码输入错误”/ “密码错误”等明确告知用户名有问题;
。。。
基本都是:“用户名或密码错误” 有点模糊两可之意
看了《图解HTTP》之后就懂了^_^
正解
在“第11章 web的攻击技术”中,有一小节提到 ‘不正确的错误消息处理’和‘密码破解’
不正确的错误消息处理(Error Handling Vulnerability)的安全漏洞是指,Web应用的错误信息内包含对攻击者有用的信息:
- a.Web应用抛出的错误消息;
- b.数据库等系统抛出的错误消息。
密码破解攻击(Password Cracking)即算出密码,突破认证。
密码破解有以下两种手段:
- a.通过网络的密码试错(穷举法,字典攻击);
- b.对已加密密码的破解(指攻击者入侵系统,已获得加密或散列处理的密码数据的情况);
根据以上2个定义,排列组合场景就会出现用户的信息泄露了;
如果明确地告诉普通用户,你的用户名错误,对普通用户来说易用性这一块很不错,只要修改一下就好了;
对黑客来说也降低了破解的难度系数,但对于自身软件来说安全系数就是低了,对用户的损失就是更大。
所以一般就数据库里报错的一般是加密,但是有些根据用户量以及业务场景一般是不加盐的,还是提倡能加些盐
对测试的简单思考
有时候前端显示的很完美,什么都告诉用户,提高用户的易用性,是否会对自身软件来说是种负担,假设按照明确告知用户哪哪哪错了,只是可能只是多些了一些if...else,对性能来说其实并不划算,有时候模糊些就好,只需要一个“||”就能解决,代码层面上更为整洁,对于测试来说,说所需要执行的用例,是没有差,该考虑的场景还是要走到一遍(如果看了代码,其实还是能少走很多测试场景^_^),对于安全性来说这个就需要考虑了。
有时候开发的同学不喜欢一些toast,喜欢报错的关键词显示,哈哈,这个一是对用户不友好,二可能会泄露一些被攻击的信息。测试同学还是需要督促。
多思考,多学习。哪天就相通了。(像小孩问妈妈这是为什么,妈妈总是说等你长大了就知道了<偷笑>)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
