想问一下 我们公司的网站都是用https的
但是我用fiddler看封包
在WebForms页签的body还是能看到明文的密码
想问这是正常的吗
有什么方法能避免使用者的密码被拦截吗
刚试了一下银行的登入功能
拦到的密码是加密后的
这是用javascript加密的吗?
作者:
qa17b (圣猿降临 众酸退散)
2017-09-27 00:24:00想要做出不会被拦截的加密系统基本上不可能啦,顶多延长破解时间或降低风险而已
作者:
AndCycle (AndCycle)
2017-09-27 00:57:00你都用fiddler了, 设定流程就打金钥进去了 ...
作者:
ssccg (23)
2017-09-27 04:43:00你用fiddler就是你自己MITM自己啊...https正确使用是没问题的
原来如此 我再查查MITM相关的资料好了不太懂fiddler解密https的原理
作者:
ssccg (23)
2017-09-27 12:40:00就是fiddler伪冒你连的网站,你建立的https连线是连fiddlerserver端当然就解密内容了,fiddler再跟真的网站建https
作者:
oToToT (å±å©)
2017-09-27 17:34:00你捞自己的封包本来就捞的到key吧
作者:
Hevak (Arthow Eshes)
2017-09-27 21:10:00之前看过银联的前端程式码,他送出去的密码会另外再用一把金钥(应该是公钥)算过才写回去input字段不过我看过的不够多,不是很确定这样做法常见不常见
作者:
ssccg (23)
2017-09-27 21:47:00用了https再多做一个加密是完全没意义的..除非说连线server不是他自己家的(像CDN),要再多做一层endto end加密到后端验证server的