web-dev-qa-db-ja.com

パスワードでzxcvbnを信頼する必要がありますか?

zxcvbn 式を使用して、現在および将来のパスワードエントロピーを測定したいと思います。
このウェブサイトへの入力が本当に機密であるかどうかをテストおよび検出する方法はありますか?

[〜#〜]編集[〜#〜]
1。私はスーパーユーザーで恥ずかしいほど簡単な解決策を見つけました。 Firefoxでは、ページを保存するときに「完了」オプションを選択して、jsファイルが含まれるようにします。
2。 SOJPMが示唆しているように、実際のパスワードをテストする必要はありません。同じパターンのもので十分です。

web-applicationconfidentiality
1
Manumit

私の知る限り、zxcvbnプロジェクトは完全にクライアント側のJavaScriptアプリです。つまり、理論的には、データをサーバーに送り返す必要はありません。

データが返送されているかどうかを確認するには、いくつかの方法があります。

  1. このWebページがサーバーに送り返しているデータを検査するには、wiresharkなどのパケットスニファを使用します。

  2. リンク先のページで、ページソースを表示し、クリックしてすべてのzxcvbn/*.js実行中のスクリプト。彼らがしていることを自分で見てください!

  3. 特にzxcvbnの場合;これはオープンソースプロジェクトです。ソースは github.com/dropbox/zxcvbn にあります。自分のページでプラグインとしてzxcvbnを使用することを計画している場合は、実行している正確なソースコードを調べて、疑わしいことを何もしていないことを確認できます。それがあなたが不快なことをしているなら、それを修正してください!または、JavaScriptが気に入らない場合は、githubで考えられるほぼすべての言語へのオープンソースのzxcvbnポートがあります。

6
Mike Ounsworth