我最近一直在研究HTTPS,以及它的安全性.
我去了一个https网站,它有一个有效的证书,并输入了我的用户名和密码.使用Fiddler,我解密了单击提交按钮后出现的请求,并且在包含键值对的字符串中有纯文本的用户名和密码(这不是查询字符串,而是post值).
任何人都可以告诉我为什么说HTTPS是安全的,因为我很容易使用外部应用程序获取用户名和密码?我的意思是它几乎是即时解密,当然黑客可以使用一个应用程序找出你正在制作的请求并解密它们,不是吗?
Joa*_*son 11
HTTPS是一种相当安全的点对点通信方式,中间任何人都无法收听.
Fiddler可以解密流量的原因是它可以控制您的浏览器信任哪些证书.证书基本上是一个"保证",您正在与之交谈的网站是它声称的人,并且由于Fiddler可以将自己的证书放入浏览器,它可以说服浏览器它是任何网站.
通常,浏览器只有证书颁发机构的证书(如Verisign,Thawte,Geotrust),他们的工作就是确认每个站点实际上都是他们所说的人.只要您信任证书颁发机构(他们犯了错误)并且没有人在您的浏览器中添加假证书,您几乎可以相信没有人在监听.
如果您正在寻找"数学上安全"的东西,那么HTTPS就不是了.为了便于设置通信,您仍然必须信任其他人而不是连接的另一端.
| 归档时间: |
|
| 查看次数: |
293 次 |
| 最近记录: |