如上面的屏幕截图所示,facebook会在请求标题中显示用户密码。
我很想知道为什么facebook没有使用公钥隐藏密码。
编辑:
即使使用HTTPS加密数据也可以使用类似应用程序的FIDDLER来破坏HTTPS。
在将密码发送到服务器之前加密密码有什么问题?
答案 0 :(得分:0)
由于@WizKid已经评论过密码在从浏览器发送之前使用HTTPS加密,但是您检入密码的控制台会在加密之前获取数据。你可以尝试使用像fiddler这样的工具来查看实际发送的内容
答案 1 :(得分:0)
正如@WizKid评论的那样,您在问题中建议的加密 完全 HTTPS 正在做什么。
HTTPS 在您的浏览器或设备中使用已预先安装的签名证书,由受信任的第三方证书提供当局,验证 网站和关联服务器的身份。这样可以防止网站钓鱼和中间人(MITM)攻击。
用户与网络服务器之间的通信 加密 传输层安全性 (TLS)或安全套接字层(SSL),因此您的交换数据受 MITM 攻击保护。
由于 HTTPS 依赖于信任 签名证书,您可以使用 Fiddler 解密数据,因为 Fiddler < / strong>要求您添加自行生成的证书到信任。如果没有权限,您的数据将安全。
答案 2 :(得分:0)
因为使用类似 FIDDLER 的应用程序不能破坏 HTTPS!
在将密码发送到服务器之前对其进行加密并没有错,这只是 Facebook 可能认为从安全角度来看不会增加任何内容的额外工作。