Passwords 如果我能在Fiddler Webform会话中看到我的密码，这是否意味着它'；什么是发送纯文本？

如果我能在Fiddler Webform会话中看到我的密码，这是否意味着它正在发送纯文本？？

---

或者，我如何知道该网站是否以明文形式发送密码？

如果您可以看到它，并且协议是HTTP，那么它将以明文形式发送。但是，即使您不能将其视为纯文本，也不意味着它是安全加密的，并且可能很容易恢复，就像使用HTTPS一样（除非与HTTPS结合使用，请参见下文）

基本身份验证看起来像

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

它不是纯文本，而是仅以base 64编码，即直接解码回纯文本

但是，如果协议是HTTPS，那么您所看到的纯文本将对您的计算机和服务器之间的任何嗅探器进行完全加密。这包括完整的http请求和响应：Url、http头和http正文。当您的浏览器通过对DNS进行（非加密）调用来获取IP地址时，可以“嗅探”的只有使用的IP地址和端口，通常还有域名

---

这需要您配置Fiddler为您解密HTTPS，这需要您的“OK”Fiddler证书，以便它可以执行相当于“友好”中间人攻击的操作。

您应该在这里真正接受Eugene的答案。因此，如果我丢失了手机，并且没有锁定登录，则安装起来非常简单“中间人友好”攻击，并可能访问我所有应用程序中的数据。这是一个公平的假设吗？在应用程序级别，阻止这种攻击的一种方法是在通过https POST发送应用程序数据之前对其进行加密，然后在服务器端对其进行解密。或者还有更简单的方法吗？