我正在使用 Selenium Webdriver 和 Mocha 场景进行简单的 Javascript 测试,该场景登录到我的生产站点,清除 UI 中的缓存,然后注销该站点。
我知道通过 https 发送纯文本密码非常安全,流量经过加密,与通过 HTTP 发送纯文本密码相比,使得窃听等行为更加困难。然而,我不是安全专家,我相信即使在休息时,人们仍然可以采取更好的方法来保护密码。
我的问题是,是否需要关心使用 Selenium Webdriver 和 Mocha 通过 https 发送纯文本密码。这在某种程度上是不安全的,我可能看不到吗?
it('clear-cache', async function() {
// Test name: clear-cache
...
await driver.get("https://www.thisisarealsite.co.za/user/login")
await driver.findElement(By.id("edit-name")).click()
await driver.findElement(By.id("edit-pass")).sendKeys("vhghxxxdxeZxxxC8hiap{")
await driver.findElement(By.id("edit-name")).sendKeys("admin")
await driver.findElement(By.id("edit-submit")).click()
...
})
如果您有任何建议或意见,请告诉我,因为我是新手。
附加信息:
“摩卡”:“^5.2.0”,
“selenium-webdriver”:“^4.0.0-alpha.1”
通过 https 发送时,它不是明文。换句话说,不。但是,您应该担心将该代码留在存储库中。
实际上,如果您使用
--disable-web-security
(人们这样做),您可能会遭受 MITM 攻击,但这似乎不太可能。
Selenium WebDriver 流量未加密。因此,如果您使用 WebDriver 在远程计算机上自动化浏览器,则到该远程计算机的流量未加密,您将面临风险。