Drupal отправляет учетные данные (имя пользователя и пароль) в текстовом виде даже по HTTP-адресам. Вводит имя пользователя. Перед тем, как этот firebug открыт. Перейдите в раздел Net и проверьте переменные post после отправки формы входа. Я могу видеть свое имя пользователя и пароль в текстовой форме.Шифрование имени пользователя и пароля
Я также проверил это на drupal.org. Drupal.org также отправляет пароль в ясный текст.
Можно ли зашифровать? Есть ли способ зашифровать пароль перед отправкой данных формы в функцию валидатора.
В большинстве обстоятельств HTTPS будет достаточной защитой от кого-то видящего пароль на проволоке как запросов сами будут зашифрованы между браузером и сервером (за исключением любого человека в средние атаки, корпоративные прокси или вредоносное ПО). Вы можете зашифровать клиентскую часть пароля в JavaScript - возможно, используя открытый ключ сертификата, привязанного к порту HTTPS, затем настройте drupal для дешифрования пароля перед выполнением аутентификации ... но технически это будет пригодиться для те же атаки, что и HTTPS. –
В drupal он не работает. –
Firebug просто отображает данные, поскольку он контролировал его до того, как соединение зашифровано. Если вы использовали Wireshark или Fiddler (без включения прокси-сервера HTTPS), пароль действительно должен быть зашифрован. –