前几天我注意到如果我运行IEInspector的HttpAnalyser并在登录我的银行帐户或亚马逊帐户时捕获帖子数据,帖子数据会以明文形式显示我的用户名和密码。这有点令人担忧。有谁知道SSL加密在什么时候发生?我认为这意味着您计算机上安装的任何软件都可能访问此帖子数据。非常可怕。
答案 0 :(得分:15)
这个东西内置在你的浏览器中!浏览器是加密文本的实体,因此它显然具有加密和未加密文本的副本。您显示的插件可以访问IE所做的一切。
如果您想真实地表示正在使用的内容wireshark。这将读取浏览器输出的实际网络流量。
答案 1 :(得分:7)
安全套接字层 - 它通过套接字(网络/互联网)加密数据,而不是本地计算机上的数据。
答案 2 :(得分:2)
SSL通过“线路”加密流量。因此,您的计算机和接收服务器之间是安全的(减去SSL漏洞,例如刚刚发现的新漏洞 - http://twit.tv/sn223)。
如果您的计算机上有恶意软件,那么您就不再安全了。 SSL根本无法帮助你。恶意软件无论如何都可以使用更基本的攻击,比如键盘记录......
答案 3 :(得分:2)
SSL非常安全。
我认为Thilo已经找到了正确的答案 - IEInspector似乎在IE下运行,而不是作为一个单独的工具。我怀疑它能够在之前显示流量它通过SSL堆栈并离开浏览器。
您可以通过下载Wireshark之类的数据包嗅探器并嗅探来自网卡的流量来证明这种情况。您会看到数据包实际上是加密的,而您的登录实际上并不是以纯文本形式发送的。
答案 4 :(得分:1)
至于您关于SSL的问题,而不是在浏览器中查看您的uid / pwd的问题。简而言之,SSL很好。最近有一些非常微妙的攻击,但它仍然是一个很好的协议,特别是TLS 1.0及更高版本(TLS是IETF批准的SSL)
但您需要考虑威胁 - 您希望使用SSL解决哪些问题?如果您担心通过服务器身份验证进行线上篡改检测和保密,那么就可以了,只需确保您的客户端和/或服务器不会协商到弱密码组,例如40或56位RC4或DES ,或MD4等。
如果需要,SSL还可以提供客户端身份验证,但这是可选的。
作为最后的说明。 SSL通常比你设计的任何东西都好得多:)
欢呼,迈克尔答案 5 :(得分:0)
在加入网络之前肯定会进行SSL加密。数据包嗅探器无法获取请求或响应的内容。
IEInspector是否在IE内部运行(作为插件)?在这种情况下,它可能会做一些非常讨厌的事情(但是当你安装它时你就同意了)。