我们计划首次在项目中实施https / ssl,并且在解析中我认为id会深入挖掘它。
我正在查看使用httpfox登录amazon.com时发送的数据 - 表单发送一个长POST字符串,这是一个子集(显然电子邮件和密码已更改)
email=name%40example.co.uk&create=0&password=letmein
这似乎是坐在那里,如果有人正在运行数据包嗅探器他们能够看到这些数据,如果没有加密oc
答案 0 :(得分:2)
浏览器和服务器之间的加密整体加密 - 不是自己的POST数据,而是整个HTTP请求。
您在httpfox中看到的只是数据的客户端视图,在实际发送之前。 (显示已经加密的HTTP请求数据对于调试来说没什么价值;除了这些工具通常在如此接近浏览器前端的级别上运行之外,还没有发生加密。)
只有在整个请求已经从客户端到服务器的路上时,数据包嗅探器才会发挥作用,当然没有任何东西仍然“无处不在”,因此攻击者只会看到已加密的数据和因此对它没有任何意义(除非他是NSA当然,因为我们几天都知道)。