Ваши пароли утекли в сеть, где я допустил ошибку в передаче пароля?

Question

[Савва Насыров]

Мой браузер(Chrome) после логина на мой сайт выдает ошибку:

В связи с этим вопрос: где я допустил ошибку?

fetch(window.location.origin + `/api/Auth/Login?username=${username}&password=${password}`);

вот так я передаю пароль. А как надо?

Comments

[Everything_is_bad]

/)_-) там поди еще http

[Савва Насыров]

Everything_is_bad, извините?

[Савва Насыров]

Everything_is_bad, нет, https {https://localhost:7125/pages/tasking/tasking.html?}

[Adamos]

Не "где", а "сколько".
Три ошибки можно назвать сразу:
2. Формирование GET-запроса тупой конкатенацией.
1. Передача критических данных в GET-запросе.
0. Авторизация в API по логину и паролю, а не по токену.

[Everything_is_bad]

Савва Насыров,
1. пароль скорее всего из списка очень распространённых
2. почитай разницу GET vs POST, почитай базовые рекомендации по логинам
3. localhost с https? это либо что-то самоподписанное, либо всем известный сертификат с раскрытыми ключам, но в данном случае не так важно, как пункт 1

[Савва Насыров]

Everything_is_bad,
2. Разве это критично? тем более что я получаю с сервера sessionid, это не гет?

Как безопасно передать пароль?

[Everything_is_bad]

Савва Насыров, и зачем ты тогда прибежал сюда, если сам стал использовать простой пароль?
2. критично, GET по умолчанию много где логируются, вместе с параметрами, а sessionid обычно через куки передаются

[Савва Насыров]

Я хотел поинтересоваться что мне сделать: закрыть дыру в безопасности или забить?

[historydev]

Савва Насыров,

Сначала закрой базовые дыры, которые приводят к таким вопросам.

Изучи основы rest api, основы безопасности, основы безопасного хранения/передачи данных.

Общение клиент/сервер и т.д.

За неделю можно поверхностно что-то понять и даже использовать.

Answer 1

[Сергей delphinpro]

вы использовали простой (хотя это не обязательно) пароль, который присутствует в базах утекших паролей. Просто смените его.

Answer 2

[MVV]

Это вам Google Chrome пишет, что этот пароль утек (где-то, когда-то): Google Chrome стал шибко умным и любит теперь поучать пользователей, что они должны делать, а что - не должны. На эту тему нынче даже статья на Хабре есть.
Так что пароль, скорее всего, утек не у вас (ибо много кто из разработчиков пользуется сайтами в домене localhost ;-) ), но я бы, к примеру пароль сейчас поменял, чисто на всякий случай.
Если вам надоела опека Google Chrome, то ее можно(пока?) отключитью Конкретно как включить (а, следовательно отключить) - про это в Интернете ссылок много, например, такая). Только потом, если чо, не жалуйтесь.

PS Использовать самопальную аутентифкацию/авторизацию крайне не рекомендуется (если вы не Брюс Шнайдер, конечно, или кто-нибудь вроде него). Потому что в этом деле тонкостей много и накосячить можно влегкую. Совет тут простой: посмотреть, как в вашем стеке стандартным образом реализуется аутентифкация с авторизацией (про .NET - см. документацию, а ещё, если непонятно, есть куча учебников)и сделать именно так, стандартно. В частности, передавать каждый раз на сервер логин с паролем плохо из соображений даже не безопасности, а производительности: аутентификация (полноценнная) - довольно дорогая операция. Сейчас для этого стали модны token, раньше обходились cookie. Но выбор, как всегда - за вами.