8月 102014
如题:
回答:
- 加入小张登录账号A后,临时离开一下,这是小王看见小张没关电脑,想把小张的A账号据为己有,将密码修改为自己的,如果需要输入原密码,则,这坏事儿就干不成了
- 对于已登录用户,如果修改密码不需要输入原密码,则很容易被跨站请求攻击的
结论:
不仅仅是修改密码,其它一些重要操作都应该是这样的,就比如,浏览器记录了你大量密码,而且,浏览器提供了查询明文密码的功能,前提是,你必须验证操作系统账号的密码;(其实,只要做一次登录并且抓包就能看到了)
如题:
回答:
结论:
不仅仅是修改密码,其它一些重要操作都应该是这样的,就比如,浏览器记录了你大量密码,而且,浏览器提供了查询明文密码的功能,前提是,你必须验证操作系统账号的密码;(其实,只要做一次登录并且抓包就能看到了)