Asp.net 使用表单身份验证时是否可以捕获用户凭据

如果我使用的是在标准HTTP上运行的表单身份验证，当用户在登录ASP.net表单中输入用户名和密码时，是否可以捕获此信息（不包括密钥记录软件），那么他们的数据是否安全

在标准HTTP上运行的身份验证，当用户输入 用户名和密码输入到登录ASP.net表单中，是否可以输入此信息 被俘

简短回答：绝对正确。每个人和任何人都可以在提交此信息后捕获此信息

长答案：任何人都可以看到使用HTTP（或HTTPS）协议的所有流量。然而，通过HTTPS提供的安全性（加密），这些数据对于无法解密的人来说没有任何价值

因此，如果您的登录表单通过HTTP提交用户凭据（以及加载登录表单，但稍后我会再讨论），则该用户的数据是不安全的，可以在发送纯文本时捕获

但是请注意，通过HTTPS发送敏感数据（如凭据）同样重要，通过HTTPS加载登录表单也同样重要

为什么?

因为，当表单通过HTTP加载时，它允许中间人（MiTM）攻击，比如说，插入键盘记录器）。因此，即使他们通过HTTPS提交凭据，但在他们输入凭据时，已经造成了损害