Security 对通过Post请求提供的密码进行加密
我一直在学习网络,并一直在使用LiveHttpHeaders记录我在firefox中发出的post请求。有趣的是,当我登录到站点时,无论是否使用https,提交的Post请求都包括我的用户名和密码(纯文本)!如果系统管理员保存所有网络请求的日志,或者有人在无线网络上监听,这难道不危险吗?我在gmail和其他网站上都试过。我本以为谷歌的人已经想到了这个问题,所以我忘了什么吗?在客户端加密以克服这个可能的安全漏洞不是更明智吗 下面是一个示例post请求的内容块(我已经用USER和PASS替换了我的实际用户名和密码),原因很明显Security 对通过Post请求提供的密码进行加密,security,httprequest,Security,Httprequest,我一直在学习网络,并一直在使用LiveHttpHeaders记录我在firefox中发出的post请求。有趣的是,当我登录到站点时,无论是否使用https,提交的Post请求都包括我的用户名和密码(纯文本)!如果系统管理员保存所有网络请求的日志,或者有人在无线网络上监听,这难道不危险吗?我在gmail和其他网站上都试过。我本以为谷歌的人已经想到了这个问题,所以我忘了什么吗?在客户端加密以克服这个可能的安全漏洞不是更明智吗 下面是一个示例post请求的内容块(我已经用USER和PASS替换了我的实
ltmpl=default<mplcache=2&continue=https%3A%2F%2Fmail.google.com%2Fmail%2F%3F&service=mail&rm=false&dsh=8406886653173005655<mpl=default&hl=en<mpl=default&scc=1&ss=1&GALX=4EQjnPdWBb0&Email=USER&Passwd=PASS&rmshow=1&Sign=Sign=Sign=Sign+in&asts=这有点离题,你最好在安全邮件列表或类似的邮件列表上提问
但我认为您的困惑在于,您用来跟踪信息的程序正在解密SSL会话(假设存在)。您询问的(“客户端加密”)基本上是由SSL完成的。您可能想了解一下。当您通过SSL安全连接提交信息时,只有您与之通信的服务器的私钥的私有方才能读取您提交的数据 所以,虽然对你来说你的用户名和密码是纯文本的,这是因为你在它们被加密之前嗅探它们
如果您想查看SSL连接的真实外观,请在客户机和服务器之间放置一个数据包转储程序。两台机器都没有运行。这样的数据包转储程序将看到一个加密的、不可读的数据流。一个进程在发送之前对数据进行加密,在接收之后进行解密。只有当网络设备负责加密时,你的最后一段才有意义。@jweyrich:不,请重新阅读。如果你在网络上的客户端和服务器之间放置一些东西,你就会看到真正的攻击者所看到的数据包的样子。也许我不明白你所说的“不在任何一台机器上运行”是什么意思。如果您是说必须在不同的计算机上运行嗅探器才能查看加密的流量,则不需要它-您可以在同一台计算机上运行它。@jweyrich:我说它不应该在同一台计算机上运行的原因是为了避免出现VPN接口之类的情况。例如,如果您在出站if上侦听,您将能够清楚地看到IPSec通信,因为内核直到堆栈中的稍后部分才对其进行加密。确保你看到真实画面的唯一方法是站在外人会看到的地方。啊,好的。谢谢你的澄清,尽管我没有看到任何关于VPN的提及。我应该考虑一下:-)