在我们的项目中,我们希望从匿名攻击者(通过中间人或任何技术)保护用户的密码。所以我正在通过Fiddler探索HttpRequest登录页面。以下链接将解释我在Fiddler http://www.sharexfiles.com/image/2015-02-24_113847_0.jpg中得到的内容。 (请注意请求文本 - 红色和绿色视图状态)。
为了保护视图状态,我在配置enableViewStateMac="true" viewStateEncryptionMode="Always"中添加了以下内容,然后我的HttpRequest在链接http://www.sharexfiles.com/image/2015-02-24_114302.jpg中看起来如下所示。请注意这里的绿色和红色街区。
我的问题是基于上述情况,我的视图状态是加密的(即以绿色阻止),但我的请求未加密(以红色阻止),因此我的密码清晰可见。攻击者是否可以通过任何方式获取此请求(以红色阻止)以了解用户的密码?无论如何我可以检查我发送的请求是否从客户端到服务器是安全的?
注意:我在此项目中使用SSL(HTTPS)。相应地为此提供答案会很好。
感谢您的帮助。 :)
答案 0 :(得分:2)
如果您使用的是https,那么您只能看到这些请求,因为您可以通过启用https decryption让Fiddler成为中间人。
如果您想查看攻击者实际可以看到的内容,您应该使用Wireshark之类的工具。您会看到攻击者看不到您的密码。
另一种选择显然是在Fiddler中禁用http解密。
