一般的网站是怎么做的呢?据我观察,大部分网站登录时用的也都不是https。
This topic created in 5016 days ago, the information mentioned may be changed or developed.
 |
1
altchen Aug 27, 2012
大部分是https
|
 |
2
skydiver OP @altchen 忘了说明了,我说的是大部分指的国内网站。国外网站大部分都是https
在网上发现这篇文章列出了一些网站 http://zhuoqiang.me/a/password-transport |
 |
3
saturn Aug 27, 2012
是的,不安全。但是大多数网站都是这么干的。
更加安全的方法是:客户端RSA非对称加密 + HTTPS管道传输(可选)。 具体可以参考QQ企业邮箱的登录,你可以尝试用抓包软件(比如Wireshark)抓抓你局域网内的帐号密码;你会发现很多明文的帐号和密码。 但就算是此方案也无法防止木马直接获取你输入密码,这就是为神马国内的网银各种奇葩的原因——网民素质、网络环境和网络文化使然。 |
 |
4
Js Aug 27, 2012
https(防嗅防伪造) + client sha1(防止网站方获取明文密码)
不用https,单纯js加密对于嗅听没用, 很简单的例子就是可以追加一段js到页面监听所有的input[@type=password]元素, 然后在form.submit的时候劫持所有数据到另一个url |
Select Language