Olá,
Apesar de estarmos usando https foi possivel ver na aula (e também testei no meu firefox) a senha enviada no POST do signin. Como se justifica? Não é isto uma brexa de segurança?
Muito obrigado pelo suporte
Olá,
Apesar de estarmos usando https foi possivel ver na aula (e também testei no meu firefox) a senha enviada no POST do signin. Como se justifica? Não é isto uma brexa de segurança?
Muito obrigado pelo suporte
Oi Nicecio, tudo bem? Essa é uma boa pergunta... vamos explorar a resposta.
O campo de senha em si no navegador é apenas um campo de texto. O navegador apenas esconde os caracteres, mas por baixo dos panos sua senha ainda é visível, basta digitar a senha, depois ir no inspect do navegador e trocar o tipo do input para text, verá a senha clara como água depois disso.
Acontece que o HTTPS, encripta as informações antes delas irem para a camada inferior da rede, então, no firefox, o que você vê é na verdade a senha antes dela ser empacotada e enviada.
Isso ao meu ver, não é uma brecha de segurança do HTTP, seria se você conseguisse olhar a senha de outro computador.