在测试 Web 应用程序时,我是否应该担心使用 selenium 发送纯文本密码
Should I worry about sending plain text passwords with selenium when testing web applications
我正在使用 Selenium Webdriver 和 Mocha 场景进行简单的 Javascript 测试,该场景登录到我的生产站点,从 UI 清除缓存,然后退出站点。
我知道通过 https 发送纯文本密码非常安全,流量是加密的,与通过 HTTP 发送纯文本密码相比,窃听等操作更加困难。然而,我不是安全专家,我相信仍然可以采取更好的方法来保护静态密码。
我的问题是是否需要关注使用 Selenium Webdriver 和 Mocha 通过 https 发送纯文本密码。这在某种程度上是不是不安全,我可能看不到?
it('clear-cache', async function() {
// Test name: clear-cache
...
await driver.get("https://www.thisisarealsite.co.za/user/login")
await driver.findElement(By.id("edit-name")).click()
await driver.findElement(By.id("edit-pass")).sendKeys("vhghxxxdxeZxxxC8hiap{")
await driver.findElement(By.id("edit-name")).sendKeys("admin")
await driver.findElement(By.id("edit-submit")).click()
...
})
如果您有任何建议或意见,请让我知道,因为我是新手。
附加信息:
"mocha": "^5.2.0",
"selenium-webdriver": "^4.0.0-alpha.1"
当您通过 https 发送时,它不是明文。换句话说,没有。但是,您应该担心将该代码留在回购协议中。
实际上,如果您使用 --disable-web-security(人们这样做),您可能会受到 MITM 攻击,但这似乎不太可能。
我正在使用 Selenium Webdriver 和 Mocha 场景进行简单的 Javascript 测试,该场景登录到我的生产站点,从 UI 清除缓存,然后退出站点。
我知道通过 https 发送纯文本密码非常安全,流量是加密的,与通过 HTTP 发送纯文本密码相比,窃听等操作更加困难。然而,我不是安全专家,我相信仍然可以采取更好的方法来保护静态密码。
我的问题是是否需要关注使用 Selenium Webdriver 和 Mocha 通过 https 发送纯文本密码。这在某种程度上是不是不安全,我可能看不到?
it('clear-cache', async function() {
// Test name: clear-cache
...
await driver.get("https://www.thisisarealsite.co.za/user/login")
await driver.findElement(By.id("edit-name")).click()
await driver.findElement(By.id("edit-pass")).sendKeys("vhghxxxdxeZxxxC8hiap{")
await driver.findElement(By.id("edit-name")).sendKeys("admin")
await driver.findElement(By.id("edit-submit")).click()
...
})
如果您有任何建议或意见,请让我知道,因为我是新手。
附加信息:
"mocha": "^5.2.0",
"selenium-webdriver": "^4.0.0-alpha.1"
当您通过 https 发送时,它不是明文。换句话说,没有。但是,您应该担心将该代码留在回购协议中。
实际上,如果您使用 --disable-web-security(人们这样做),您可能会受到 MITM 攻击,但这似乎不太可能。