在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?

一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。

下面, 我们以知乎的登录过程来看看,输入密码后, fiddler抓包如下:

居然是明文密码!!!

现在你要问, 为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。

我斗胆, 知乎不敢在后台存用户的明文密码。 而注册过程和登录的过程, 知乎后台是能拿到用户密码的, 所以说, 知乎的后台开发同学, 仍然有机会接触到用户的文明密码, 这是很危险的啊。 怎么让用户放心呢? 另外, 客户端能抓到明文, 坏人很容易植入木马, 获取到登录的密码, 所以, 用https传输密码, 也是不安全的。

另外一个某网站(在此, 我不点名)居然也是用https传输明文, 呵呵哒。 本来, 用哈希加盐就能解决问题。

我们来看下支付宝, 大家猜猜结果, 如果支付宝也是这样, 估计阿里就不是阿里了, 来抓包看看:

可见, 支付宝是对明文密码进行了处理, 然后用https传输的。 这是预期中的, 也是应该的。给个赞。

我又试了某知名网站(在此, 我不点名), 发现也是非明文密码, 且用https传输, 赞一个。

不多说。

为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比相关推荐

  1. tcpdump抓包分析 https://www.01hai.com/note/av263669

    转:tcpdump抓包分析(强烈推荐) 内容预览: 转自:https://mp.weixin.qq.com/s?__biz=MzAxODI5ODMwOA==&mid=266...~ .,表示没 ...

  2. 抓包!抓包! HTTPS中间人抓包

    简介 抓包是一种网络分析技术,可以用于捕获和分析数据包,通常用于网络故障排查.协议分析.安全审计等.网络上所有的数据包都是以二进制的形式在网络上传输的,抓包工具可以捕获到这些数据包并将其转换为可读的格 ...

  3. Python爬虫小偏方:如何用robots.txt快速抓取网站?

    作者 | 王平,一个IT老码农,写Python十年有余,喜欢分享通过爬虫技术挣钱和Python开发经验. 来源 | 猿人学Python 在我抓取网站遇到瓶颈,想剑走偏锋去解决时,常常会先去看下该网站的 ...

  4. 利用wget 抓取 网站网页 包括css背景图片

    利用wget 抓取 网站网页 包括css背景图片 wget是一款非常优秀的http/ftp下载工具,它功能强大,而且几乎所有的unix系统上都有.不过用它来dump比较现代的网站会有一个问题:不支持c ...

  5. python抓取网站乱码_如何使用Python抓取网站

    python抓取网站乱码 by Devanshu Jain 由Devanshu Jain It is that time of the year when the air is filled with ...

  6. 给你的网站https一下

    2019独角兽企业重金招聘Python工程师标准>>> 北京时间2月9日早间消息,谷歌Chrome安全产品经理艾米丽·谢克特(Emily Schechter)周四发表博文,证实当该公 ...

  7. wireshark抓包分析 --https

    https://blog.csdn.net/u010726042/article/details/53408077 SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层.其中 ...

  8. 苹果强制使用HTTPS传输后APP开发者必须知道的事

    2017年1月1日起,苹果公司将强制使用HTTPS协议传输.本文通过对HTTPS基础原理和通信过程内容的讲解,介绍APP开发者在这个背景下的应对办法. 几周前,我们在<https大势已来?看腾讯 ...

  9. 【python】python异步抓取网站数据【详细过程】

    项目介绍 askWeb/index.py 网站爬取数据类 database/index.py 数据库类(数据库封装) utils/index.py 工具文件 main.py 项目入口文件 1.main ...

最新文章

  1. input blur获取不到当前值_解决 Laravel JWT 多表认证时获取不到当前认证用户的问题...
  2. Android Studio:创建类时,添加作者名和日期
  3. 记录一次quartus II prime standard 18添加器件库的方法
  4. 学习响应式BootStrap来写融职教育网站,Bootsrtap第八天轮播图js特效
  5. 也谈被严重高估的安全技术
  6. Python代码转换为exe可执行程序详解
  7. Java语法——标识符,关键字,数据类型,变量常量介绍
  8. JPA EntityManager –HibernateEntityManager
  9. CRC校验算法——C语言实现
  10. [Python] jieba库?结巴库?
  11. VMware安装Ubuntu教程
  12. 高数——两个重要极限
  13. linux下查看cpu和memery的个数
  14. linux运维是做什么的
  15. 【oracle工具】plsqldev美化规则文件详细解释(关键字大写,标识符小写等规则)
  16. 如何用木板做桥_用木板做桥 工具跟做家具的一样 大小跟办公桌差不多大 能承重 参加比赛 主要是承重 给个设计方案...
  17. 【天池基础知识】 - 查看特征变量的相关性(计算相关性系数+画出热力图+筛选特征变量+Box-Cox变换)
  18. Localizing oscillatory sources using beamformer techniques:part 1
  19. 3.【Linux】ubuntu18.04安装搜狗输入法
  20. MATLAB Signal Rrocessing(13)视频和音频

热门文章

  1. 【转载】struts2实现下载文件的简单例子
  2. Rust 语言新人入门指南
  3. JZOJ4848 永恒的契约
  4. 创新创意ssm计算机毕业设计题目300例之java农村地产物品交易网站mg72q
  5. 经典重读 | 用高斯牛顿的方法来进行IKF的更新步骤
  6. FLV Video解析
  7. 周鸿祎:360的未来是什么
  8. 移动端app内嵌网页开发框架
  9. 隐私计算:使用混淆电路开源框架Obliv-C解决百万富翁难题
  10. 通信网络航天卫星国际会议