在测试web应用程序时，我是否应该担心发送带有selenium的纯文本密码？

Question

我正在使用场景编写一个简单的Javascript测试，它登录到我的生产站点，清除UI中的缓存，然后注销该站点。

我知道在https上发送纯文本密码是非常安全的，流量是加密的，与通过HTTP发送纯文本密码相比，窃听和类似的事情要困难得多。我不是一个安全专家，但我相信仍然有更好的方法可以采取的安全密码，即使在休息。

我的问题是，是否需要关注使用Selenium和Mocha在https上发送纯文本密码。这在某种程度上是不安全的，我可能看不见吗？

  it('clear-cache', async function() {
    // Test name: clear-cache
...
    await driver.get("https://www.thisisarealsite.co.za/user/login")
    await driver.findElement(By.id("edit-name")).click()
    await driver.findElement(By.id("edit-pass")).sendKeys("vhghxxxdxeZxxxC8hiap{")
    await driver.findElement(By.id("edit-name")).sendKeys("admin")
    await driver.findElement(By.id("edit-submit")).click()
...
  })

如果你有任何建议或意见，请告诉我，因为我是新手。

附加信息：

“摩卡”："^5.2.0"，

"selenium-webdriver"：“^4.0.0-字母1”

Answer 1

当您发送https时，它不是明文。换句话说，不是。但是，您应该关注将该代码留在回购中。

实际上，如果您使用--disable-web-security (人们使用)，您可能会受到MITM攻击，但这似乎不太可能。