1. 国内大多数网站的密码在 post 传输过程中都是明文的,这正常吗
信息安全的保护确实分成两个部分,端的安全(可以具体到客户端和服务器端)和链路的安全,也就是传输过程中的安全。
一般我们可以认为,端都是可信的。对于服务器端,你愿意使用这个公司提供的服务,一个隐含的条件就是相信这个提供服务的公司,所以服务器端可以认为是比较安全的。
而客户端,你愿意使用这台电脑,也表明你认为这台电脑是比较安全的。只有对于一些安全级别更高的业务,比如在线交易,才需要额外的再对客户端的安全性做一次校验。但是,要真正的保证客户端安全是很难的,需要使用像可信计算这样的技术。常见的能够很大程度保护客户端安全的设备,比如iOS设备、PSP之类的游戏机,也是能够遭到破解,所以这个问题至今没有比较完善的解决方案。
通常我们认为,自己肯定不会给自己的电脑装上木马,网吧的老板一般不会跟黑客一伙,也不会在网吧的电脑上装木马。所以保护的焦点,应该集中在通信的链路上,而不是端上,而且,在链路上进行窃听,比在大部分时候在端上进行攻击都来得有效和难以发现。
一个很简单的例子,如果我用笔记本在一个外租房比较密集的小区,建立一个无密码的WiFi热点,保证很多试图蹭网的人连接上来,然后如果我用WireShark(或者用WinPcap写一个过滤程序),监听WiFi收到转发的数据包,那一定能截获大批的用户名和口令,至少,如果他上知乎,用户名和口令我一定能得到。这个例子也说明了,各位千万不要贪图小便宜而去蹭别人的WiFi,这是一个对自己来说很危险的行为。
实施网络窃听是如此的容易,甚至不需要额外安装什么黑客软件就可以进行。对于很多场合,我们对于传输的内容被窃取并不关心,我不怕别人知道我看了什么新闻,也不怕别人知道我在知乎回答了什么问题,但是用户名和口令这样的身份鉴别信息是绝对不可以被窃取的,因为可能会引起一系列其他的安全问题,CSDN泄漏以后大家都在改密码就能说明问题。对于关键身份鉴别信息在传输时进行加密是一种非常有必要,而且也是非常重要的事情。
至于安全成本问题,我觉得,一个开发人员的薪水一年是十万以上,一年三五千的SSL证书,对于一个网站来说,根本就是九牛一毛。
2. 网站用的是https,为什么抓包用户名密码还是明文传输
网站用的是https,抓包用户名密码还是明文传输的原因是:
https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。
HTTP是一个简单的请求-响应协议,通常运行在TCP之上。指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出;而消息内容则具有一个类似MIME的格式。HTTP使得开发和部署是那么的直截了当。
(2)传输密码是明文的如何解决扩展阅读:
HTTP的相关要求规定:
1、HTTP是应用层协议,同其他应用层协议一样,是为了实现某一类具体应用的协议,并由某一运行在用户空间的应用程序来实现其功能。HTTP是一种协议规范,这种规范记录在文档上,为真正通过HTTP协议进行通信的HTTP的实现程序。
2、HTTP协议是基于C/S架构进行通信的,而HTTP协议的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要是Web浏览器,客户端的命令行工具还有elink、crul等。
Web服务是基于TCP的,因此为了能够随时响应客户端的请求,Web服务器需要监听在80/TCP端口。客户端浏览器和Web服务器之间就可以通过HTTP协议进行通信了。
3、HTTP规范定义了9种请求方法,每种请求方法规定了客户和服务器之间不同的信息交换方式,常用的请求方法是GET和POST。服务器将根据客户请求完成相应操作,并以应答块形式返回给客户,最后关闭连接。
3. 国内大多数网站的密码在 post 传输过程中都是明文的,这正常吗
当然不正常。敏感数据在传输中需要加密的。
一般使用https协议,会自动机密。你可以看 新浪,qq的邮件服务器地址都是 https 的。
4. 网站用的是https,为什么抓包用户名密码还是明文传输
说明您的网站源码没有做好,比如您的密码直接写网页一样展示了,那么无论什么加密方式都无法保护的。
5. 国内大多数网站的密码在 post 传输过程中都是明文的,这正常吗
另外补充一下明文传输并不像想象那么可怕……事实上正常情况下这些报文你根本监听不到,除非你种木马、入侵路由器、局域网监听等。所以在这种情况下互联网公司一般没必要花太大代价进行这个加密的。
6. 网站用的是https,为什么抓包用户名密码还是明文传输
这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http
post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。
加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。
参考:wosign.com/news/2016-0126-01.htm
7. 如何准确的抓取网络上传输的明文密码
使用Sniffer,就能抓取到网络上“广播”的明文密码数据包。
但一般用的交换机就会很好的避免这种数据被别人截取。因为交换机是点到点传输数据,你向服务器提交密码,交换机知道服务器在哪个借口,就会不广播,直接将数据传输给服务器所在借口。
你只有使用HUB才能是广播环境,才能接收到别人的明文密码。
8. 国内大多数网站的密码在 post 传输过程中都是明文的,这正常吗
然而你登陆的时候是你向网站服务器发送post,网站会进行MD5或者其他方式的加密处理,如果发生泄密,可能是你在发送途中被拦截(中毒,木马等等。),还有种可能是网站存储密码的数据库造泄露导致,至于正常不正常,很多网站在使用条款里都有一条:最终解释权归本公司。
那么问题来了,你觉得正常吗。
9. 为了解决在使用ftp或telnet时网络对用户名及其密码进行明文传送时带来的安全问题,
telnet换成ssh,ftp换成ftps。
10. 跪求指教!登录FTP,出现不支持,如果继续文件和密码会明文传输。
ftp是明文传输的,会泄露密码
你把下面的选项勾选,以后就不提示了
服务器启动FTPs服务,再访问就加密了