作者 更新:此功能现已 在 Firefox Beta 版中启用,从 Firefox Beta 50 版开始。
几乎所有使用网页的人都会用密码登录。并且几乎所有使用密码的人都会在不安全的表单中输入密码,从而将密码置于风险之中。
在 Firefox 46 开发版 中,我们向开发者展示了有关此风险的显著警告。当包含密码字段的页面没有通过安全方式传送时,Firefox 会在地址栏中显示一个带有红色删除线的锁。
如果您正在通过 HTTPS 提交登录表单,这很好,但这还不够。您还必须通过 HTTPS 传送该表单。如果登录表单没有通过安全通道传送,那么攻击者就可以注入 JavaScript 代码来窃取用户的密码——用户输入的每个字符都可能被攻击者窃取。
我们将在开发版中发布此功能,因为开发者最终需要确保他们在构建的网站上登录更加安全。(目前没有计划向 Beta 版和正式版 Firefox 用户展示这些警告。)我们已经在 开发者工具 Web 控制台 中显示警告很长时间了;在 URL 栏中添加带有删除线的锁图标可以使问题更加突出。
您可以在 此处 了解有关此功能的更多信息。
关于 Tanvi Vyas
Mozilla 安全/隐私工程师和技术主管 - @TanviHacks
12 条评论