v2ex 登录分析

2021-09-03 16:25:29 +08:00
 skyphone001
用 fiddler 抓包了 v2 的登录。发现提交了 5 个表单
key value 说明
cc197a53dabd5a18198dc6e01822dc8c81062d96645c2d672dc9facb213b47e6 skyphone001 用户名
ed29a56a15250e45a7f54daa29e6b07d2fbc51757164725ca7c6a4035977dd45 明文密码 密码
e980331cd832118eb1068774e0020c5dd0fe2cba72f89887e307239594c3f936 xkhb 验证码
once 16929
next /

这种登录有什么好处。发现密码也没加密
684 次点击
所在节点    问与答
6 条回复
mightofcode
2021-09-03 16:35:07 +08:00
https 保证安全性,前端没必要加密
skyphone001
2021-09-03 17:45:03 +08:00
@mightofcode 问题是我抓包抓到了。支付宝密码是加密了。
AoEiuV020
2021-09-03 18:27:33 +08:00
我也觉得前端密码简单加密意义不大,因为本质上这个”加密结果“才是真正的密码,抓包照样抓到”密码“,
要更高级别安全性至少要额外设计一套方案,复杂度大增,
比如我们公司支付密码不参与传输,只用来加解密私钥,然后私钥去解密服务器给的临时密码,再用临时密码加密其他参数,这过程临时密码对上了就表示支付密码对上了,
adrianzhang
2021-09-03 18:44:45 +08:00
看用户群吧,像 v2 这种人均会翻的用户,谁会用别人的网络登录 v2 呢,至少经过自己的 vps 不是,这样的路,有必要在开始就加密么?
v2tudnew
2021-09-20 12:01:05 +08:00
@skyphone001 #2 过了 https 还能抓到?你这是登录的客户端上装了抓包软件吧?
skyphone001
2021-09-22 09:55:01 +08:00
@v2tudnew 直接用 fiddler4 抓就可以

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/799708

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX