作者vi000246 (Vi)
看板Web_Design
标题[问题] 想问https发送表单加密的问题
时间Tue Sep 26 23:59:03 2017
想问一下 我们公司的网站都是用https的
但是我用fiddler看封包
在WebForms页签的body还是能看到明文的密码
想问这是正常的吗
有什麽方法能避免使用者的密码被拦截吗
刚试了一下银行的登入功能
拦到的密码是加密後的
这是用javascript加密的吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 175.181.176.7
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Web_Design/M.1506441545.A.4AA.html
1F:→ qa17b: 想要做出不会被拦截的加密系统基本上不可能啦,顶多延长破 09/27 00:24
2F:→ qa17b: 解时间或降低风险而已 09/27 00:24
3F:→ AndCycle: 你都用fiddler了, 设定流程就打金钥进去了 ... 09/27 00:57
4F:→ ssccg: 你用fiddler就是你自己MITM自己啊... 09/27 04:43
5F:→ ssccg: https正确使用是没问题的 09/27 04:44
6F:→ ssccg: 另外你所谓银行密码是加密後的,我猜大概是hash 09/27 04:47
7F:→ ssccg: 单纯的client side hash其实是没意义的 09/27 04:48
8F:→ vi000246: 原来如此 我再查查MITM相关的资料好了 09/27 12:25
9F:→ vi000246: 不太懂fiddler解密https的原理 09/27 12:25
10F:→ ssccg: 就是fiddler伪冒你连的网站,你建立的https连线是连fiddler 09/27 12:40
11F:→ ssccg: server端当然就解密内容了,fiddler再跟真的网站建https 09/27 12:40
12F:→ vi000246: 大致了解了 感谢s大的说明 09/27 17:24
13F:推 oToToT: 你捞自己的封包本来就捞的到key吧 09/27 17:34
14F:推 Hevak: 之前看过银联的前端程式码,他送出去的密码会另外再用一把 09/27 21:10
15F:→ Hevak: 金钥(应该是公钥)算过才写回去input栏位 09/27 21:11
16F:→ Hevak: 不过我看过的不够多,不是很确定这样做法常见不常见 09/27 21:11
17F:→ vi000246: 这好像是RSA加密 09/27 21:46
18F:→ ssccg: 用了https再多做一个加密是完全没意义的.. 09/27 21:47
19F:→ ssccg: 除非说连线server不是他自己家的(像CDN),要再多做一层end 09/27 21:50
20F:→ ssccg: to end加密到後端验证server的 09/27 21:50