在用户名字段中提交密码对安全性有何影响？

假设我在经常访问的网站（当然是https）的用户名文本框中输入密码，然后按回车，直到我注意到自己在做什么。

我的密码现在是否以纯文本格式保存在日志文件中的某个位置？狡猾的罪犯如何利用我的错误？帮助我理解实际的安全隐患，无论它实际发生的可能性如何。

这取决于站点的身份验证系统的配置。如果设置为记录任何尝试-比是，它现在以纯文本格式出现在日志（文本文件或数据库）中。它可能看起来像这样：

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSWORD_HERE) from (YOUR_IP_HERE);

或类似。

仍然确实，普通用户将无法访问密码。仅适用于有权访问日志文件的用户。

它意味着什么后果？

• 如果服务器受到威胁-黑客理论上将拥有您的纯文本密码。
• 网站的管理员可能会定期浏览日志文件，并意外找到您的密码。然后，他可以找到该记录的IP地址，从而从理论上可以找到您的用户名和电子邮件（因为他可以访问数据库）。

因此，如果您在其他资源上使用相同的电子邮件/用户名/密码，则不要立即进行更改。因为有可能会找到您的密码。日志可以在服务器上保留多年。

就像您说的那样，Web应用程序倾向于保留未成功登录尝试的日志。如果有人要查看日志，则可以将该特定的登录尝试与您的另一个成功尝试（即通过IP地址）连接起来。

尽管我认为这不太可能发生，但是您可以随时更改它。