Podělím se o způsob, jak lze komunikaci se službou přes prostředníka řešit i bez odeslání hesla na prostředníkův server. Lze to bohužel použít jen v některých případech.
K prostředníkovi se odešlou všechna potřebná data vyjma hesla. To neopustí klientův počítač, ale bude zapsáno ve fragmentu URI (tedy za znakem #). Server udělá potřebné operace a pro závěrečnou komunikaci se serverem služby vygeneruje JavaScript. Ten postaví přes DOM formulář, heslo si vezme z window.location.hash a odešle jej. Poté zpracuje výsledek a předá uživateli (nebo znovu prostředníkovu serveru pro finální zpracování). Podstatné je, jak jsem psal, že heslo neopustí klientův počítač.
Názor ke zprávičce Jsou čeští internetoví odborníci odolní vůči socialnímu inženýrství?
aura:74
