1. 國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎
信息安全的保護確實分成兩個部分,端的安全(可以具體到客戶端和伺服器端)和鏈路的安全,也就是傳輸過程中的安全。
一般我們可以認為,端都是可信的。對於伺服器端,你願意使用這個公司提供的服務,一個隱含的條件就是相信這個提供服務的公司,所以伺服器端可以認為是比較安全的。
而客戶端,你願意使用這台電腦,也表明你認為這台電腦是比較安全的。只有對於一些安全級別更高的業務,比如在線交易,才需要額外的再對客戶端的安全性做一次校驗。但是,要真正的保證客戶端安全是很難的,需要使用像可信計算這樣的技術。常見的能夠很大程度保護客戶端安全的設備,比如iOS設備、PSP之類的游戲機,也是能夠遭到破解,所以這個問題至今沒有比較完善的解決方案。
通常我們認為,自己肯定不會給自己的電腦裝上木馬,網吧的老闆一般不會跟黑客一夥,也不會在網吧的電腦上裝木馬。所以保護的焦點,應該集中在通信的鏈路上,而不是端上,而且,在鏈路上進行竊聽,比在大部分時候在端上進行攻擊都來得有效和難以發現。
一個很簡單的例子,如果我用筆記本在一個外租房比較密集的小區,建立一個無密碼的WiFi熱點,保證很多試圖蹭網的人連接上來,然後如果我用WireShark(或者用WinPcap寫一個過濾程序),監聽WiFi收到轉發的數據包,那一定能截獲大批的用戶名和口令,至少,如果他上知乎,用戶名和口令我一定能得到。這個例子也說明了,各位千萬不要貪圖小便宜而去蹭別人的WiFi,這是一個對自己來說很危險的行為。
實施網路竊聽是如此的容易,甚至不需要額外安裝什麼黑客軟體就可以進行。對於很多場合,我們對於傳輸的內容被竊取並不關心,我不怕別人知道我看了什麼新聞,也不怕別人知道我在知乎回答了什麼問題,但是用戶名和口令這樣的身份鑒別信息是絕對不可以被竊取的,因為可能會引起一系列其他的安全問題,CSDN泄漏以後大家都在改密碼就能說明問題。對於關鍵身份鑒別信息在傳輸時進行加密是一種非常有必要,而且也是非常重要的事情。
至於安全成本問題,我覺得,一個開發人員的薪水一年是十萬以上,一年三五千的SSL證書,對於一個網站來說,根本就是九牛一毛。
2. 網站用的是https,為什麼抓包用戶名密碼還是明文傳輸
網站用的是https,抓包用戶名密碼還是明文傳輸的原因是:
https(ssl)加密是發生在應用層與傳輸層之間,所以在傳輸層看到的數據才是經過加密的,而我們捕捉到的http post,是應用層的數據,此時還沒有經過加密。這些明文信息,其實就是你的本地數據。
HTTP是一個簡單的請求-響應協議,通常運行在TCP之上。指定了客戶端可能發送給伺服器什麼樣的消息以及得到什麼樣的響應。請求和響應消息的頭以ASCII碼形式給出;而消息內容則具有一個類似MIME的格式。HTTP使得開發和部署是那麼的直截了當。
(2)傳輸密碼是明文的如何解決擴展閱讀:
HTTP的相關要求規定:
1、HTTP是應用層協議,同其他應用層協議一樣,是為了實現某一類具體應用的協議,並由某一運行在用戶空間的應用程序來實現其功能。HTTP是一種協議規范,這種規范記錄在文檔上,為真正通過HTTP協議進行通信的HTTP的實現程序。
2、HTTP協議是基於C/S架構進行通信的,而HTTP協議的伺服器端實現程序有httpd、nginx等,其客戶端的實現程序主要是Web瀏覽器,客戶端的命令行工具還有elink、crul等。
Web服務是基於TCP的,因此為了能夠隨時響應客戶端的請求,Web伺服器需要監聽在80/TCP埠。客戶端瀏覽器和Web伺服器之間就可以通過HTTP協議進行通信了。
3、HTTP規范定義了9種請求方法,每種請求方法規定了客戶和伺服器之間不同的信息交換方式,常用的請求方法是GET和POST。伺服器將根據客戶請求完成相應操作,並以應答塊形式返回給客戶,最後關閉連接。
3. 國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎
當然不正常。敏感數據在傳輸中需要加密的。
一般使用https協議,會自動機密。你可以看 新浪,qq的郵件伺服器地址都是 https 的。
4. 網站用的是https,為什麼抓包用戶名密碼還是明文傳輸
說明您的網站源碼沒有做好,比如您的密碼直接寫網頁一樣展示了,那麼無論什麼加密方式都無法保護的。
5. 國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎
另外補充一下明文傳輸並不像想像那麼可怕……事實上正常情況下這些報文你根本監聽不到,除非你種木馬、入侵路由器、區域網監聽等。所以在這種情況下互聯網公司一般沒必要花太大代價進行這個加密的。
6. 網站用的是https,為什麼抓包用戶名密碼還是明文傳輸
這是因為:https(ssl)加密是發生在應用層與傳輸層之間,所以在傳輸層看到的數據才是經過加密的,而我們捕捉到的http
post,是應用層的數據,此時還沒有經過加密。這些明文信息,其實就是你的本地數據。
加密數據只有客戶端和伺服器端才能得到明文,客戶端到服務端的通信過程是安全的。
參考:wosign.com/news/2016-0126-01.htm
7. 如何准確的抓取網路上傳輸的明文密碼
使用Sniffer,就能抓取到網路上「廣播」的明文密碼數據包。
但一般用的交換機就會很好的避免這種數據被別人截取。因為交換機是點到點傳輸數據,你向伺服器提交密碼,交換機知道伺服器在哪個借口,就會不廣播,直接將數據傳輸給伺服器所在借口。
你只有使用HUB才能是廣播環境,才能接收到別人的明文密碼。
8. 國內大多數網站的密碼在 post 傳輸過程中都是明文的,這正常嗎
然而你登陸的時候是你向網站伺服器發送post,網站會進行MD5或者其他方式的加密處理,如果發生泄密,可能是你在發送途中被攔截(中毒,木馬等等。),還有種可能是網站存儲密碼的資料庫造泄露導致,至於正常不正常,很多網站在使用條款里都有一條:最終解釋權歸本公司。
那麼問題來了,你覺得正常嗎。
9. 為了解決在使用ftp或telnet時網路對用戶名及其密碼進行明文傳送時帶來的安全問題,
telnet換成ssh,ftp換成ftps。
10. 跪求指教!登錄FTP,出現不支持,如果繼續文件和密碼會明文傳輸。
ftp是明文傳輸的,會泄露密碼
你把下面的選項勾選,以後就不提示了
伺服器啟動FTPs服務,再訪問就加密了