我的 boss

如果场景是，你抓的 HTTPS 流量的设备你可以接触到，那么是可以抓到 HTTPS 的详细内容的。

如果抓到的是加密之前的数据，那不是 HTTPS 数据。

我想你 BOSS 说的是 HTTPS 下 GET 方式传输明文。

我向你索取公钥，把“你的 boss 是不懂非对称加密的逗逼”加密后递交给你，你的 boss 站在一旁，既知道你的公钥，也知道我的密文，但一脸蒙逼

自己数据加密后再传输。。这样别人再抓包也得想办法解。

记得很久以前有人对我说过这么一句话：这个人没什么本事，就让他当领导吧。

https 是加密从发出到接收中间这个过程的，如果你电脑上装了木马获取了明文数据那不是一回事

发送====加密（====tcp 传输====）接收====解密

加密的是 tcp 传输，不被你的 ISP 截获插入广告或修改数据，这个过程是用 TLS 保护的整个 TCP 传输过程

@linboki 玩的 6

@dsphper 不好意思， HTTPS 下 GET 方式传输的数据也是被加密的。

https 下的包是加密的，但是对于想了解你的参数结构的人来说， https 并不会造成太大的阻碍。但是如果把攻击扩展到可以批量攻击的程度，目前还做不到，因为攻击自己容易，攻击别人前提太多了，首先要骗人家安装证书。

那么你应该给你的 boss 一个耿直的微笑 然后问他还有啥方法

那你就说,猴,我们的 iOS 端都不做了,辣鸡水果
Doge

@hahaDashen 我就是耿直的微笑了，然后估计笑得有点儿嘲讽了。。。

@eloah boss 还不看新闻，今天才发现水果政策变了， ats 延期。默默的看他折腾了好几天 https

@imbahom 挑事的微笑 : )

@dsphper https 之后无论是 get 还是 post / put / delete 什么鬼的都是加密的。
@bzzhou 所说的根本不成立，因为 @linboki 说的是正确的。

楼主把 https://support.google.com/webmasters/answer/6073543?hl=en 把这个发给你家 boss ！

希望你的 boss 不是管技术的。 https/tls 这一套本身就是为了防中间人的。

@klesh http://security.stackexchange.com/questions/8145/does-https-prevent-man-in-the-middle-attacks-by-proxy-server

用 google 随便搜 https middle man attack 一大堆结果了

而且我备注了：可以接触到设备的前提

@klesh 建议还是好好去看书， RFC 2616 这些看完，还有那本什么 HTTP 大头书看完再下结论

@bzzhou 感谢您的建议。我仔细地看了你发的那个链接。里面清楚地提示到， Man in the middle attack 成立是 administrator of your computer cooperates 。

A local certification authority is setup and the administrator tells your browser that this CA is trustworthy. The proxy server uses this CA to sign his forged certificates.

既然攻击者都可以在你的电脑上安装根证书了，那还有什么不可以干的呢？ https 作用是在于信息在你的电脑端出来到服务器端进入这中间的链路，所有中间的设备和嗅探器都无法窃取和篡改你的信息。因此可达到防止运营商劫持的目的。

如果你说的是对的，那淘宝、腾讯等全站 https 意义何在？ http / https 一样都是要经过运营的设备的。

who the fuck you are to tell me what to read ?