我已经通过official Docker image安装了Jenkins,获得了一个非SSL启用的Jenkins实例,启用了Jenkins'拥有自己的用户数据库,但似乎密码是在JSON内部以纯文本形式未加密,未加密地发送的(至少,我可以通过开发者控制台的Chrome网络选项卡查看密码)。如果这确实发生了,那似乎是邪恶的,所以要么我搞砸了,要么詹金斯不适合生产用途。特别是,这似乎没有记录 - 我只通过谷歌搜索(例如)jenkins authentication password encryption找到了this post。
底层问题是什么?我该如何解决?
答案 0 :(得分:1)
您的问题是您没有使用SSL。除了浏览器不显示其内容之外,HTML中的密码字段没有什么特别之处。如果您正在进行任何类型的Web嗅探,您将能够看到浏览器和服务器之间的所有通信,包括密码,除非该站点使用SSL。
我建议使用自签名证书并在服务器上运行SSL。
正如我在评论中所述 - 请下载fiddler2并将其设置为allow https decryption。然后登录您的银行。您将在流量中查看密码,因为它已不再由SSL加密。