想研究一下登录的加密机制是怎么样的，抓了v2ex的登录的包，密码竟然是明文的...

囧，http是明文传输，https才是加密的，要用http实现加密传输密码，只能用js预处理，但这几乎只能防君子，防不了小人，或者使用专用客户端，但是lz愿意在非手机，平板上为了浏览v2ex而另外再开一个软件吗？

我一直以为是使用挑战模式，貌似很多协议都这样的，sip,stun／turn等。也没见密码用明码。难道gmail,baidu,weibo什么都是web上都是明码的吗？
或者换个问题，一般这种web 登录有没有通用或者常用的方法？

通用模式就是，强制登录部分使用https

http的都是明文的吧，除非装个什么密码输入插件。。。

@ryanking8215 一般web都是明文传输的，所以有些网站会要求安装密码控件

@vileer 其实可以参考下weibo的思路，用js加密，这样攻击者攻击成本就高得多，利用rsa之类非对称实现或者tea加密等很简单，现代的手机浏览器都支持js了（chrome，uc），甚至https也ok了

先不说https，那个是整个http协议报文都加密了。

我就是说普通的http模式下，密码不是不应该明文传的么？
大家貌似把报文加密和密码是否明码弄混了。

比如第一次Login时认证失败401，服务器传nonce,realm等，然后再次Login使用nonce,realm,把密码和这些字符一起散列得到随机字符，如果登录成功，服务器回一个hashtoken，以后每次请求都带有hashtoken，这样密码就不需要明文传了。这是标准的挑战模式，难道不是这么做的吗？

@ryanking8215 你说的有点类似于oauth验证，这也是一个方法，但是在报文有可能被截取且不加密的完全不可信环境下还是 @g0t3n 的非对称加要好点，不过说到底还是一个实现成本跟必要性的问题，一般网站直接post 登录表单没什么问题而跟钱相关（购物，银行）再严密都不为过

@ryanking8215 ActiveX

记得有些系统将密码转为MD5，不过这样应该防不了中间人攻击。还是https比较靠谱些。

ActiveX +1008611
个人认为flash也可以解决这个问题。

下面的是说给楼主的：一个网站的用户密码加密机制，99.999%的网站你在客户端是绝对无法找到的。全部都在服务端完成。楼上几位仁胸都说了http协议本身就是加密传输的。
http://www.v2ex.com/settings 在这里可以设置是否选用ssl 加密。你可以选用加密，然后再抓包看看。

那些用明文传密码的开发者都应该去看RFC2617的Digest Auth

普通http请求下，可以先用js加密一下密码吧，一般都是这么做的。