假设有这样的木马/病毒

监听本机的所有 HTTP 通讯，当发现 request header 里有 Authorization 的时候，保存下来，和 Host 头一起，加密发送到某台主机。

有可能可以防御么？

darasion

2011-03-02 23:40:05 +08:00

这个不用监视本机吧？
好像直接在别处就能看到的。比如路由器上。别人的机器上。

Livid

2011-03-02 23:43:02 +08:00

或许在某个大路由器上已经有这样的玩意了。

算了，这样的事情还是不要多想为妙。

我还没有做好准备吞下红色药丸。

GordianZ

2011-03-03 01:31:29 +08:00

That's why you need HTTPS on login page.

Livid

2011-03-03 01:40:05 +08:00

所以，理论上来说，所有的 Web 2.0 服务都应该在登录接口提供 HTTPS。

Los

2011-03-03 01:44:33 +08:00

其实早就有了

Sunyanzi

2011-03-03 02:21:39 +08:00

如果想上网 ... 所有上下行数据就要过好多层关卡 ...

要么你选择信任它们 ... 要么就不要上网 ...

所以基本上如果有人想要分析 http 头然后记录的话 ...

作为用户是完全没办法的 ...

对抗措施的话 ... 两种 ... 第一种是 HTTPS 或者 JavaScript 加密 ...

第二种是直接用最普通的 POST ... 没有任何特征表示这是用户名和密码 ...

我不相信谁可以监控所有流过的 POST 数据 ... 把敌人淹没在人民战争的海洋中就好了 ...

summic

2011-03-03 15:00:12 +08:00

@Livid
我最近也在烦恼这个问题，只在登录加了https
session id还是会被劫持，twitter就是个例子

dreampuf

2011-03-04 11:41:46 +08:00

你是在说墙么?

fehu2005

2011-03-04 12:54:18 +08:00

网上没安全可言啊

raptium

2011-03-04 14:03:23 +08:00

对仅仅是 login 的时候 https
还是不能对付 cookie theft

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/9166

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.