[问题] 想问https发送表单加密的问题 vi000246 PTT批踢踢实业坊

楼主: vi000246 (Vi) 2017-09-26 23:59:03

想问一下我们公司的网站都是用https的
但是我用fiddler看封包
在WebForms页签的body还是能看到明文的密码
想问这是正常的吗
有什么方法能避免使用者的密码被拦截吗
刚试了一下银行的登入功能
拦到的密码是加密后的
这是用javascript加密的吗?

作者: qa17b (圣猿降临众酸退散) 2017-09-27 00:24:00

想要做出不会被拦截的加密系统基本上不可能啦，顶多延长破解时间或降低风险而已

作者: AndCycle (AndCycle) 2017-09-27 00:57:00

你都用fiddler了, 设定流程就打金钥进去了 ...

作者: ssccg (23) 2017-09-27 04:43:00

你用fiddler就是你自己MITM自己啊...https正确使用是没问题的

楼主: vi000246 (Vi) 2017-09-27 12:25:00

原来如此我再查查MITM相关的资料好了不太懂fiddler解密https的原理

作者: ssccg (23) 2017-09-27 12:40:00

就是fiddler伪冒你连的网站，你建立的https连线是连fiddlerserver端当然就解密内容了，fiddler再跟真的网站建https

楼主: vi000246 (Vi) 2017-09-27 17:24:00

大致了解了感谢s大的说明

作者: oToToT (å±å©) 2017-09-27 17:34:00

你捞自己的封包本来就捞的到key吧

作者: Hevak (Arthow Eshes) 2017-09-27 21:10:00

之前看过银联的前端程式码，他送出去的密码会另外再用一把金钥(应该是公钥)算过才写回去input字段不过我看过的不够多，不是很确定这样做法常见不常见

楼主: vi000246 (Vi) 2017-09-27 21:46:00

这好像是RSA加密

作者: ssccg (23) 2017-09-27 21:47:00

用了https再多做一个加密是完全没意义的..除非说连线server不是他自己家的(像CDN)，要再多做一层endto end加密到后端验证server的

继续阅读