我一直在学习网络,并且使用LiveHttpHeaders记录了我在firefox中发布的帖子请求。有趣的是,当我登录网站时,无论是否有https,提交的Post请求都包含我的用户名和密码(纯文本)!如果系统管理员保留所有网络请求的日志或有人正在无线网络上监听,这不是很危险吗?我在gmail以及其他网站上试过这个。我本以为谷歌的人已经想到了这个问题,所以我忘记了什么?在客户端进行加密以及克服这个可能的安全漏洞是不是更明智?
以下是示例发布请求的内容块(我已使用USER和PASS替换了我的实际用户名和密码),原因很明显。
ltmpl =默认&安培; ltmplcache = 2及继续= HTTPS%3A%2F%2Fmail.google.com%2Fmail%2F%3F&安培;服务=邮件&安培; RM =假安培; DSH = 8406886653173005655&安培; ltmpl =默认&安培; HL = EN&安培; ltmpl =默认&安培; SCC = 1&安培; SS = 1&安培; GALX = 4EQjnPdWBb0&安培;电子邮件= USER&安培;的passwd = PASS&安培; rmShown = 1&安培;登入=注册+在&安培;的AST =
答案 0 :(得分:0)
这有点偏离主题,您可能最好在安全邮件列表或类似邮件上询问。
但我认为您的困惑在于,您用来跟踪信息的程序正在解密SSL会话(假设有一个)。你的问题(“客户端加密”)几乎是由SSL完成的。您可能需要查看the subject。
答案 1 :(得分:0)
当您通过SSL加密连接提交信息时,只有与您通信的服务器的私钥相关的一方才能读取您提交的数据。
所以,虽然您的用户名和密码显示为纯文本,但这是因为您在加密之前嗅探他们。
如果您想查看SSL连接的真实情况,请将数据包转储程序置于客户端和服务器之间。没有在任何一台机器上运行。这样的数据包转储程序将看到一个加密的,不可读的数据流。