回覆列表
  • 1 # 鞠躬車馬前

    那麼多博士不知所然。

    他是明文,但他也是面向連線的,當然,這個連線也是可以被擷取或者篡改的。而https加密了報文和連結,比較難被擷取和篡改。

    那麼為什麼http協議密碼不被竊取呢?因為雖然報文你可以看的到,但密碼是加密的,類似md5這樣的不可逆演算法,就算給你加密後報文,你依舊沒法知道密碼。

    但是駭客可以就用這個加密的密碼登入,所以還是https安全一點,安全一點而已。

  • 2 # 40歲的程式設計師

    沒有聽說過 只能說明你的閱歷太少 2003年的時候 我就靠arp攻擊和http監聽來收集網咖上網人的郵箱密碼

  • 3 # 老漢籃球

    網站丟不丟使用者資料跟它是否使用HTTPS協議無關,關鍵在於儲存用資料的網站伺服器是否做了足夠的防護。

    HTTPS是用來傳輸使用者訪問資料的協議,協議本事是安全的。如果採用不加密的HTTP協議,那麼使用者的訪問流量在往返網站的過程中,只要能被截獲就會洩露,因為資料是沒有加密的。使用者的訪問流量在網際網路上傳輸是要經過好多環節的,在每一個環節都有可能被截獲。就好比我們寄快遞,HTTP協議使用透明的包裝,而HTTPS協議則是包裹得嚴嚴實實的。如果使用透明的包裝,那麼收快遞的、送快遞的、中專站甚至是路人甲跟隔壁老王都能看到你寄的是什麼東西,這樣安全嗎?

  • 4 # 時光之心15

    你把“abcdefg”加密後變成“58756987”,然後把“58756987”發到網上,誰都能看到,這影響加密了嗎?

    http確實是誰都能看到,但依然可以傳遞加密後的內容

    https主要優點是身份認證,加密傳輸http就能做到

    有一段時間可以弄到郵箱密碼,不代表http沒法可靠傳遞密碼,而是程式設計師太鬆懈了,沒有采取足夠好的措施

    別忘了有js啊

  • 5 # 仁見人愛

    給點個睛,如果網路原理學得好,會用一些抓包工具,再想辦法控制一臺路由器,這辦法不教了,實驗環境可以用自己機器代替。傳啥就能抓到啥,只要是不加密的資料包,傳啥就能看到啥,還能篡改。

  • 6 # 深入淺出話圍棋

    因為使用者密碼並不是用明文傳輸的,而是密碼的hash值。

    hash是一個單向限門演算法,簡單說可以計算任意訊息的hash值,但不能透過hash值反推訊息內容。

    伺服器將使用者密碼的hash值存入資料庫,所以即使是伺服器,也有可能不知道密碼的明文。使用者登入的時候,伺服器拿傳入的hash值和資料庫的hash值比對,如果一致則驗證透過

  • 7 # 網路圈

    首先可以明確一點的是,HTTP協議下資料傳輸都是明文傳輸的,如果請求被截獲了那完全可以盜用和篡改資料發出偽造請求。

    HTTP協議是不安全的

    HTTP協議一方面在資料傳輸過程中是明文傳輸的,另一方面也缺乏有效機制檢查客戶端與伺服器端的連線是否是可靠的,所以安全性很低。

    為什麼很少聽說使用HTTP協議暴露了使用者的密碼?

    這裡只是說很少聽說使用HTTP協議暴露了使用者資訊,但並不是代表沒有!在HTTP協議下要竊取使用者資料需要滿足一定條件:

    1、首先要截獲到使用者的請求

    一般在家庭和辦公網路基本上沒有人擷取你的網路請求,但一些公共WiFi就存在這方面的風險,你的電腦手機透過公共WiFi進行網路連線,攻擊者控制了路由就可以監聽你的網路請求(類似於本地抓包),請求資料直接暴露在攻擊者面前。

    2、密碼必須是未加密的

    很多大型網站都有自己的安全團隊,在HTTP協議下使用者輸入密碼時,在提交表單之前會對密碼進行加密的(每次加密的密文都不一樣),這樣傳到伺服器端的密碼是加密過的,即使攻擊者截獲了你的請求看到的密碼也是加密後的密碼,而且此密碼攻擊者拿過去也無法透過伺服器端驗證。

    細心的朋友會發現某些站點輸入密碼後,提交表單時密碼框裡的密碼感覺一下子變多了。

    對於一些小型網站,這種漏洞都是存在的。

  • 8 # 味冷

    http協議本身是明文,也就是說你發helloworld對方收到的就是helloworld,但是並沒有禁止你先把helloworld加密再透過http傳輸啊。自己在微控制器上寫著玩的小網頁,可以直接捕獲密碼,但是大公司的軟體都沒這麼傻吧。

  • 9 # microkof

    網站使用http的時代,你用攔截資料包,確實可以攔截到密碼,但是,你只是攔截到一個或者幾個使用者的密碼,不可能攔截到一個站幾百萬幾千萬個使用者的密碼。

    攔截的方法通常是在使用者的上層閘道器設定攔截,比如你公司的區域網,只要願意,你公司的網管是可以攔截到你的密碼的,這也不難做到。但是,自己人黑自己人,這不是技術層面的事,是人性道德法律的事。

    想攔截整個站的密碼,電信運營商和網站機房託管商可以做到。只不過,一旦發現必然坐牢。誰也不幹這事。

  • 10 # 無名氏126224576

    如果密碼加密後使用http傳輸不能直接截獲明文密碼,但是你別忘了,https裡的ssl的作用不只是加密,還有防篡改和保證網站的真實性的作用。如果你在位址列輸入網址時沒有手動在網址前加https:// 那麼攻擊者就可以偽造你想要訪問的網站,或者篡改真正的網頁,往網頁里加入惡意程式碼,那麼你輸入的密碼就會被輕易竊取

  • 11 # 剛剛講過

    這個問題似乎已經有了很多人回答了,但是好像他們都沒回答對題點!

    關於HTTP明文傳輸的缺點,以及它導致使用者密碼洩露的原理的解說,請大家移步本問題下的其它回答,它們都回答得很完善了,不需要再補充。

    題主問是的:為什麼沒聽說過……?

    原因一:你聽說過的事情太少了。

    就像很少有人聽說過“慢阻肺”這種疾病,但是它卻是世界第四大致死原因;

    原因二:因為用HTTP協議來傳輸使用者密碼,是太過於低階的安全漏洞。

    往往是許多網站被駭客攻擊的若干漏洞中比較基礎的漏洞。這就好像是一家銀行金庫被竊,其中有若干個問題,但一般只會強調竊賊採用高效炸藥、高階工具,而卻會較少提及金庫巡查人員懶惰的問題;

    原因三:往往只有大公司出的問題才容易會受到關注。而大公司對於HTTP明文傳輸使用者密碼的低階錯誤很敏感,要麼在早期就加入了其它加密手段,要麼直接改用HTTPS的新協議。而大量個人網站、小企業網站在這方面吃了虧,也就只有自己與周圍人知道,並沒能傳播出去。

  • 12 # V那個9

    低階問題。 糊弄外行,不管http還是https 如果需要敏感引數,都是經過加密處理,最入門的是 比如傳遞的密碼是md5或者自有演算法,在伺服器端資料庫進行解碼和比對。 至於這個演算法看各公司的技術水平了

  • 中秋節和大豐收的關聯?
  • 輟學創業是一種怎樣的體驗?