security - 存储在隐藏表单字段中的用户名和密码有多糟糕？

Question

假设您有一个网络应用程序在隐藏的表单字段中传递用户名和密码。

我知道这是一个非常糟糕的主意，但我有兴趣列举原因......有什么想法吗？

更新 - 这是一个假设性问题。

我找不到只是列举原因的资源 - 我知道有很多原因表明这是个坏主意，我想看看是否还有其他我没有想到的原因并创建该资源我在寻找。谢谢!

Answer 1

为什么这是个糟糕的主意的原因有很多:

1) 正如所指出的，如果您查看源代码、检查元素或任何类似的东西，那么用户名/密码很容易被发现。

2) 除非你的传输层是加密的，否则它们很容易被拦截。

3) 如果浏览器缓存了您的 html 页面，那么带有用户名/密码的文件现在就存储在该人的计算机上。

4) 如果该用户保存页面以提供给其他人，则他们的用户名/密码将与该页面一起使用。

5) POST 方法意外更改为 GET，现在密码和用户名存储在服务器访问日志中....

等等等等

在我看来，没有真正的理由这样做，尤其是当您可以在服务器上使用 session cookie 或其他一些不会向客户端公开私有(private)信息的方法时。

编辑:想想看，我以前做过一次。我将密码放在隐藏字段中，但是在这样做之前，我在打印出来之前使用只有服务器知道的 key 对其进行了加密，然后当我将密码发回服务器时，我将其解密。因此，明文密码永远不会存在于客户端。

编辑 2:根据 hobbs 观点，可能应该指出之前编辑中描述的方法并未用于直接对某人进行身份验证。