Drupal die Anmeldedaten (Benutzername und Passwort) im Klartext auch auf HTTPs senden. Gibt das Benutzername-Passwort ein. Bevor dieser Firebug geöffnet ist. Navigieren Sie zum Abschnitt "Net" und überprüfen Sie die Post-Variablen nach dem Absenden des Anmeldeformulars. Ich kann meinen Benutzernamen und mein Passwort in Klartextform sehen.Benutzername und Passwort Verschlüsselung
Ich habe dies auf drupal.org auch getestet. Drupal.org sendet das Passwort auch im Klartext.
Kann es verschlüsselt werden? Gibt es eine Möglichkeit, das Kennwort zu verschlüsseln, bevor die Formulardaten an die Validatorfunktion gesendet werden?
In den meisten Fällen die HTTPS ausreichend Schutz vor jemand sein, das Passwort auf den Draht als die Anforderungen sehen sich in zwischen Browser und Server (vorbehältlich Mann verschlüsselt werden die mittleren Angriffe, Unternehmensproxies oder Malware). Sie könnten das Passwort Client-Seite in JavaScript verschlüsseln - vielleicht mit dem öffentlichen Schlüssel des Zertifikats, das an den HTTPS-Port gebunden ist, dann drupal anpassen, um das Passwort vor der Authentifizierung zu entschlüsseln ... aber technisch wäre das nicht zu verfälschen dieselben Angriffe wie HTTPS. –
In Drupal funktioniert es nicht. –
Firebug zeigt nur die Daten an, weil sie diese überwacht haben, bevor die Verbindung verschlüsselt wurde. Wenn Sie Wireshark oder Fiddler verwenden (ohne den HTTPS-Proxy zu aktivieren), sollte das Passwort in der Tat verschlüsselt werden. –