如果网站没有'；t使用HTTPS进行用户登录，用户密码是否完全不受保护？

这个问题试图探究HTTPS登录是否对任何网站都非常重要

对于许多网站来说，如果登录是通过HTTP而不是HTTPS完成的，那么任何人都可以很容易地在互联网高速公路上看到用户ID和密码（或者通过在网吧中查看路由器和互联网连接），这是真的吗

---

如果是的话。。。流行的框架是否默认使用HTTPS（或至少作为一种选项），如Rails 2.3.5或Django、CakePHP或.Net？

是的，路径上的任何机器（数据包通过）都可以检查这些数据包的内容。它所需要的只是一个捕获代理或者一个混杂模式的网卡，比如WireShark。假设密码没有以其他方式加密（在更高级别），它们将可见

---

我无法回答你问题的第二部分，因为我对这些特定产品一无所知，但我想说的是，无法使用安全套接字几乎会使它们变得毫无用处。

Pax关于密码的说法是正确的，否则加密后的密码是看不见的

尽管如此，大多数网站仍然不使用SSL，当用户从公共wifi访问网站时，它确实会给用户带来一定程度的风险

---

HTTPS不是框架级别的选项，它将是您在设置Web服务器时要做的事情。例如，如果要使用apache配置，则需要将其打开到正确配置的https，关闭http并安装证书。该框架不会对该版本的这一部分产生直接影响。

如果用户凭据是通过不带HTTPS的HTML Web表单提交的，那么它是不安全的，数据是以纯文本提交的。但是，如果网站改用HTTP身份验证，则服务器可以向任何不提供有效凭据的请求发回401回复（或407用于代理）。401/407是服务器请求凭据的方式，应答提供了服务器支持的身份验证方案（摘要、NTLM、协商等）的列表，这些方案本身通常更安全。客户端/浏览器使用其中一个方案中的必要凭据再次发送相同的请求，然后服务器发送请求的数据，或者如果凭据被拒绝，则发送另一个401/407回复。

当@paxdiablo完全打开时，任何混乱模式的网络接口都不行。e、 g.HTTP流量是TCP流量，不是广播流量。这意味着通信不会对不共享同一冲突域的计算机进行不必要的往返。大多数网络是使用交换机构建的，这些网络中的TCP流量被路由到其预期目的地。只要沿途没有恶意切换，您大概是安全的。无线网络完全是另一回事，在使用无线接入点时，我不会在没有加密的情况下登录任何服务。