既然 socks5 proxy credentials 都是明文的，那么 authentication 意义何在？

http 也是明文的，所以账号密码的意义何在？

@ZhenShaw 那么意义何在呢？
诚心求教
既然随便一抓包就知道用户名和密码了，那么和无用户名和密码有何区别呢？

认证是认证，加密是加密

@terrytw 你硬要讨论有什么区别，比如我可以约定一个账号只能建立一个 tcp 连接；你拿到用户名密码也没法发起新的连接。

没有认证，谁都可以用你的来 proxy ，有了认证，知道账号密码的人才能用你的服务器 proxy

因为能恶意用户能不能抓到包是一个分水岭，只有很少的用户才能在网络中抓到包。

可能因为 socks5 被设计出来就不是为了做 proxy 的，主要功能应该是用于协助数据交换
正确来说应该是 socks5 协议而不是代理

2012 年的老账号了，还是程序员，问这个问题感觉有点抖机灵

授权、访问控制、加密实现了安全三素：数据完整性、可用性、机密性。克服了篡改、伪造、泄密

计算机安全基础知识

确实不了解这个，查了一下资料。
socks5 的账号密码的认证方式确实是明文的，有泄漏的风险。
不过 socks5 有 GSSAPI 和 SOCKS5 over TLS 的方式来保证安全的。
https://zh.m.wikipedia.org/zh-hans/SOCKS#SOCKS5
账号密码用的比较广泛的原因还是用起来比较简单吧，为了方便牺牲了安全性。



PS：楼上的几个人的回答无力吐槽。

因为鉴权跟加密是两码事，身份验证是用来区分用户身份的，不是用来保证链路安全的

“SOCKS5 RFC1928”, 发布于 1996 https://www.rfc-editor.org/rfc/rfc1928
“RFC 2818: HTTP Over TLS”，发布于 2000 https://www.rfc-editor.org/rfc/rfc2818
“既然 socks5 proxy credentials 都是明文的，那么 authentication 意义何在”，发布于 2022

@terrytw 你要不抓包获得我这个账号的用户名和密码然后用我这个账号发个帖子. 你发现做不到的时候就知道登录的意义在哪了.

能用代理的又不一定能抓包，既然都有权限整个网络抓包了还要啥代理啊，直接改网络配置就是了呗，现实场景很多的，再说加密和权限认真本来就不是一回事，难道有了 https 就不要登录了，内网部分机器需要外网给代理也没问题吧

@bigboyq 笑死我了

抓包你又不能抓别人的包。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

我的 socks5 就是明文传输的简单的用户、密码认证，你也能到抓到包，但是客户端和服务端约定了动态生成算法是一次一密。嘿嘿，意义是不是来了~

我能找你电脑上的包吗？

先不说 SOCKS5 over TLS 了，你可以说那是过度使用了。
就假设禁用 TLS ，还没 TLS 的时代

假设我的 proxy 密码是个网易将军令，根据时间动态生成的那种。

你抓了包看了我访问的全部内容又有什么用呢？不还是不能用这个 proxy 。
所以网易将军令这样的 token 2FA 直播时可以把密码打在公屏上的意义何在？不是都让人看光了么？

因为 authentication 和 encryption 是两个独立的概念啊