Auf unserer Website habe ich ein Registrierungsformular für neue Benutzer mit serverseitiger Validierung hinzugefügt. Ich erwähnte meinem Team während des Aufstehens, dass ich auch eine Client-seitige Validierung implementieren würde, so dass die Seite auf Benutzereingaben reagieren könnte, so dass ein Benutzer einige Eingabeanforderungen kennen würde, während er tippt anstatt zu haben zu treffen, um zu wissen, ob etwas inkorrekt ist mit ihrer Eingabe. (Alle Server-seitige Validierung bleiben.)Setzen Sie Ihre Formularvalidierungsanforderungen über ein JavaScript Regex ein Sicherheitsproblem?
Mein Teamleiter war in Ordnung, mit Validierung an allen Eingängen außer Passwort. Sein besonderes Anliegen war, dass ein Regex in JavaScript ein Sicherheitsproblem darstellt, da es möglicherweise von einem Bot erkannt werden kann. Der Bot könnte unsere Regex greifen und somit unsere Passwortanforderungen kennen. Es könnte dann versuchen, das Konto eines Benutzers zu kompromittieren, indem es das Passwort eines Benutzers rät - er hat es leichter, weil der Bot nun die Passwortanforderungen kennt.
aussetzt Ihre Validierungsanforderungen über ein ernstes Sicherheitsproblem regex?
Genauer gesagt, ist es eine Frage der Sicherheit Bots in Bezug auf die für regex schnuppern?
Ich mag würde, dass in unserem Fall hinzuzufügen, haben wir einige grundlegenden Maßnahmen an Ort und Stelle um sie zu schützen, wie ein Benutzerkonto nach so vielen Anmeldeversuchen sperren.
Wenn jemand Ihre Passwortanforderungen wissen wollte, konnte er nicht einfach auf die Anmeldeseite des Accounts gehen und die Anforderungen sehen? – 4castle
Es ist ein "Problem" in dem es Ihre Sicherheit etwas schlechter machen könnte. Aber es ist auf dem Niveau von 10000 oder 10001 Reiskörner zum Abendessen. Man ist technisch mehr Nahrung, aber es wird keinen Unterschied machen, wie sehr man sich fühlt. –
Es scheint mir, dass dies ein theoretisches Sicherheitsproblem ist (außer wenn Sie sehr strenge Passwort-Anforderungen haben, zum Beispiel 5 Ziffern, nicht mehr und nicht weniger, die sehr schnell brutal erzwungen werden können). Aber wenn Ihr Teamleiter Probleme damit hat, tun Sie einfach, was er will, es ist nicht etwas wert, ein großes Problem zu machen. – Rienk