Https 为什么在未加密的情况下传递帐户密码
通过嗅探器(Fiddler),我可以检查通过我的PC发送到网络的流。令人惊讶的是,我发现当我登录谷歌的帐户(https)时,密码是以明文形式发送的,例如:Https 为什么在未加密的情况下传递帐户密码,https,passwords,Https,Passwords,通过嗅探器(Fiddler),我可以检查通过我的PC发送到网络的流。令人惊讶的是,我发现当我登录谷歌的帐户(https)时,密码是以明文形式发送的,例如: POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1 ... Email=abc@gmail.com&**Passwd=12345678** 我的问题是:为什么即使使用https协议也不加密地传递密码?不,没有加密,密码不会以明文形式发送到Google。谷歌正在
POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1
...
Email=abc@gmail.com&**Passwd=12345678**
我的问题是:为什么即使使用https协议也不加密地传递密码?不,没有加密,密码不会以明文形式发送到Google。谷歌正在使用SSL,别担心。但您在电脑上安装了Fiddler。当您这样做时,Fiddler在您的计算机上注册了特定的根级别证书,并且能够解密web浏览器和internet之间的流量。通过安装Fiddler,您明确授予此应用程序解密流量的可能性。因此,是的,任何能够获得PC管理员访问权限的人都可以在这台PC上安装根级别证书,从而能够解密这台PC和internet之间的所有通信。你期待什么?你认为特洛伊木马是如何工作的
但是任何中间人攻击都不会起作用,因为它们无法解密您的web浏览器和internet之间的SSL通信。不,没有加密,密码不会以明文形式发送到Google。谷歌正在使用SSL,别担心。但您在电脑上安装了Fiddler。当您这样做时,Fiddler在您的计算机上注册了特定的根级别证书,并且能够解密web浏览器和internet之间的流量。通过安装Fiddler,您明确授予此应用程序解密流量的可能性。因此,是的,任何能够获得PC管理员访问权限的人都可以在这台PC上安装根级别证书,从而能够解密这台PC和internet之间的所有通信。你期待什么?你认为特洛伊木马是如何工作的
但是任何中间人攻击都不会起作用,因为它们无法解密您的web浏览器和internet之间的SSL通信。HTTPS对整个请求和响应进行加密 但是,您告诉Fiddler使用不受信任的根证书进行解密
换言之,您是在欺骗自己,并告诉浏览器忽略不受信任的证书。HTTPS对整个请求和响应进行加密 但是,您告诉Fiddler使用不受信任的根证书进行解密
换言之,您是在欺骗自己,并告诉浏览器忽略不受信任的证书。谢谢Darin。我的理解是,浏览器(应用层)发送Fiddler捕获的明文,然后SSL对明文进行加密,所以最后,网络中的数据流都是加密数据。是真的吗?不,你的理解完全错误。让我解释一下小提琴手是如何工作的。当您运行Fiddler时,它会在您的WebBrowsr中注册一个WebProxy(是的,请查看浏览器的代理设置),因此您的浏览器会首先将所有流量发送到注册的代理。由于Fiddler在安装时注册了根级别证书,因此它能够解密web浏览器发送的流量。这就是为什么您可以在Fiddler->中以明文形式看到密码的原因,因为您通过安装它显式地授予了Fiddler这样做的可能性https://www.google.com在webbrowser的地址栏中,由于Fiddler注册为代理,因此浏览器不会将此请求发送到
google.comhttp://localhost:8080google.comhttp://localhost:8080