!Feedburner的BUG!

- - 6 条留言 -

刚刚去Feedburner,这个很多人都把自己的BLOG拿去烧的地方,打算登陆,结果敲错了密码。这个时候我发现了Feedburner的一个BUG——那用户名和密码就赫然的在地址栏中作为两个参数显示着!!!

A bug of Feedburner

这个错误比较严重啊,如果有旁人在边上就全都暴露了。就算当时没有人看,可查看网页历史的话,那些密码就都可以被再现的。而且我想大多数人为了便于记忆恐怕很多网站登陆或者EMAIL都使用相同或者类似的密码,万一漏了被小人破坏,可有些麻烦。

不只是密码错误的时候,就算输入正确,也会在地址栏显示一下之后再跳入登陆后的页面。呀呀呀,一个这么多用户的网站出现这种错误是不是有点儿不应该啊?!希望使用Feedburner的用户在输入密码时注意哦,在公用机器上一定要清除网页记录!

【追加】

进一步探索发现确实Feedburner会在网页的历史中留下密码。查看网页历史,即使是密码正确的页面也会出现留下跳转之前的页面记录。Windows用户可以先Logout,然后输入用户名和密码进入Feedburner。然后查看历史,进入自己的

C:\Documents and Settings\Username\Local Settings\History\

目录,此目录为隐藏,需要设定显示隐藏文件后才可以显示。历史记录用index.dat文件存储,用任何文本编辑器打开后,检索loginsubmit,你会发现就有:

https://www.feedburner.com/fb/a/loginSubmit? userId=yourusername&password=inputedpassword

这类的行。而这是我正确的用户名和密码!

苹果用户可以进入library/safari/目录,里面有个history.plist文件,用编辑器打开,你会发现同样的结果!

【追加】

刚刚给Feedburner发了一封反馈信,很快得到了回信,对方承认了问题的存在,并说会尽快修复。邮件如下:

Thanks for the note. It does appear that logins are being posted using a GET, which can display the password on the address bar. Although this login form is encrypted, you’re correct on the browser history file issue. We’ll make sure to apply a fix for this issue and get it into production as soon as possible. I think we owe you some FeedBurner goodies for pointing this out!