在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?
一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。
下面, 我们以知乎的登录过程来看看,输入密码后, fiddler抓包如下:
居然是明文密码!!!
现在你要问, 为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。
我斗胆, 知乎不敢在后台存用户的明文密码。 而注册过程和登录的过程, 知乎后台是能拿到用户密码的, 所以说, 知乎的后台开发同学, 仍然有机会接触到用户的文明密码, 这是很危险的啊。 怎么让用户放心呢? 另外, 客户端能抓到明文, 坏人很容易植入木马, 获取到登录的密码, 所以, 用https传输密码, 也是不安全的。
另外一个某网站(在此, 我不点名)居然也是用https传输明文, 呵呵哒。 本来, 用哈希加盐就能解决问题。
我们来看下支付宝, 大家猜猜结果, 如果支付宝也是这样, 估计阿里就不是阿里了, 来抓包看看:
---------------------
作者:stpeace
来源:CSDN
原文:https://blog.csdn.net/stpeace/article/details/78073288
版权声明:本文为博主原创文章,转载请附上博文链接!