Https 为什么在未加密的情况下传递帐户密码

Https 为什么在未加密的情况下传递帐户密码,https,passwords,Https,Passwords,通过嗅探器(Fiddler),我可以检查通过我的PC发送到网络的流。令人惊讶的是,我发现当我登录谷歌的帐户(https)时,密码是以明文形式发送的,例如: POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1 ... Email=abc@gmail.com&**Passwd=12345678** 我的问题是:为什么即使使用https协议也不加密地传递密码?不,没有加密,密码不会以明文形式发送到Google。谷歌正在

通过嗅探器(Fiddler),我可以检查通过我的PC发送到网络的流。令人惊讶的是,我发现当我登录谷歌的帐户(https)时,密码是以明文形式发送的,例如:

POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1 
... 

Email=abc@gmail.com&**Passwd=12345678** 

我的问题是:为什么即使使用https协议也不加密地传递密码?

不,没有加密,密码不会以明文形式发送到Google。谷歌正在使用SSL,别担心。但您在电脑上安装了Fiddler。当您这样做时,Fiddler在您的计算机上注册了特定的根级别证书,并且能够解密web浏览器和internet之间的流量。通过安装Fiddler,您明确授予此应用程序解密流量的可能性。因此,是的,任何能够获得PC管理员访问权限的人都可以在这台PC上安装根级别证书,从而能够解密这台PC和internet之间的所有通信。你期待什么?你认为特洛伊木马是如何工作的


但是任何中间人攻击都不会起作用,因为它们无法解密您的web浏览器和internet之间的SSL通信。

不,没有加密,密码不会以明文形式发送到Google。谷歌正在使用SSL,别担心。但您在电脑上安装了Fiddler。当您这样做时,Fiddler在您的计算机上注册了特定的根级别证书,并且能够解密web浏览器和internet之间的流量。通过安装Fiddler,您明确授予此应用程序解密流量的可能性。因此,是的,任何能够获得PC管理员访问权限的人都可以在这台PC上安装根级别证书,从而能够解密这台PC和internet之间的所有通信。你期待什么?你认为特洛伊木马是如何工作的


但是任何中间人攻击都不会起作用,因为它们无法解密您的web浏览器和internet之间的SSL通信。

HTTPS对整个请求和响应进行加密

但是,您告诉Fiddler使用不受信任的根证书进行解密


换言之,您是在欺骗自己,并告诉浏览器忽略不受信任的证书。

HTTPS对整个请求和响应进行加密

但是,您告诉Fiddler使用不受信任的根证书进行解密


换言之,您是在欺骗自己,并告诉浏览器忽略不受信任的证书。

谢谢Darin。我的理解是,浏览器(应用层)发送Fiddler捕获的明文,然后SSL对明文进行加密,所以最后,网络中的数据流都是加密数据。是真的吗?不,你的理解完全错误。让我解释一下小提琴手是如何工作的。当您运行Fiddler时,它会在您的WebBrowsr中注册一个WebProxy(是的,请查看浏览器的代理设置),因此您的浏览器会首先将所有流量发送到注册的代理。由于Fiddler在安装时注册了根级别证书,因此它能够解密web浏览器发送的流量。这就是为什么您可以在Fiddler->中以明文形式看到密码的原因,因为您通过安装它显式地授予了Fiddler这样做的可能性https://www.google.com在webbrowser的地址栏中,由于Fiddler注册为代理,因此浏览器不会将此请求发送到
google.com
。它被发送到
http://localhost:8080
小提琴手正在听的地方。它在浏览器中安装了相应的根级别证书,并对流量进行解密以在UI中显示。然后它将其发送到谷歌。现在你明白Fiddler是如何以明文形式获取你的密码的了吗?@DarinDimitrov:先生,我们在Fiddler的哪里可以看到这些信息?应该选择哪个选项来查看此信息?@PankajGarg,你在说什么信息?你想看什么?这就是小提琴手的工作原理。这就是全部。我真的不明白你在说什么。谢谢达林。我的理解是,浏览器(应用层)发送Fiddler捕获的明文,然后SSL对明文进行加密,所以最后,网络中的数据流都是加密数据。是真的吗?不,你的理解完全错误。让我解释一下小提琴手是如何工作的。当您运行Fiddler时,它会在您的WebBrowsr中注册一个WebProxy(是的,请查看浏览器的代理设置),因此您的浏览器会首先将所有流量发送到注册的代理。由于Fiddler在安装时注册了根级别证书,因此它能够解密web浏览器发送的流量。这就是为什么您可以在Fiddler->中以明文形式看到密码的原因,因为您通过安装它显式地授予了Fiddler这样做的可能性https://www.google.com在webbrowser的地址栏中,由于Fiddler注册为代理,因此浏览器不会将此请求发送到
google.com
。它被发送到
http://localhost:8080
小提琴手正在听的地方。它在浏览器中安装了相应的根级别证书,并对流量进行解密以在UI中显示。然后它将其发送到谷歌。现在你明白Fiddler是如何以明文形式获取你的密码的了吗?@DarinDimitrov:先生,我们在Fiddler的哪里可以看到这些信息?应该选择哪个选项来查看此信息?@PankajGarg,你在说什么信息?你想看什么?这就是小提琴手的工作原理。这就是全部。我真的不明白你在说什么。你在Fiddler中从哪里看到这些信息的?应该选择哪个选项来查看此信息?您在Fiddler中的何处看到此信息?要查看此信息,应选择哪个选项?