加了 https，敏感信息还要加密吗？

不用。不加 HTTPS 而前端加密的公司千万不要去。

那这样问，你在传输过程中再加一次密是要干嘛？

正常情况下的 https 就不需要单独加密了

https 可是有降级攻击的~

别忘了中间人攻击

不用

公司锁了大门，个人的抽屉需要上锁吗？

@Ahri 我们以前没有 https 前端也没加密怎么说

分情况，很多场景需要后端加密，只确保传输层安全是远远不够的。前端加密倒是可以部分取代，例如登陆密码的传输。

有合法证书的情况下，中间人也没有办法的，只要用户不在浏览器提示证书错误的时候继续浏览，密码就不会泄漏，除非诱导用户安装指定的根证书，这种个例问题不属于 https 解决的问题的范畴。

要防止这种针对单个用户的攻击或者是对你应用的协议分析，web 前端加密没毛用，加密的 js 代码是裸的，自己写的 native 客户端在不被反编译的情况下可以用一下，这就看你们的投入产出比了。一般没啥太大意义

@Ahri 前端一样可以非对称啊

顺手能加个密就加吧，毕竟 HTTPS 只是协议层的加密，业务层不确定因素还是挺多的

@murmur 非对称加密如果没有证书链就可以有中间人攻击

可以是可以的
但是这就好像我们一直说的 “过度优化”：我有 5W 条数据，怎么查询快一些

@henices 老板的屋里不是还有保险柜嘛

借楼求问， 使用 https 之后，账号密码一般直接传明文，还是哈希一下再传？

@justfly 小 ca 厂乱签证书或者中间 ca 证书发生多次了。还是小心为好。

@Chrisplus 密码 hash 一下和传原始密码有啥区别。

一般都是非对称加密一下，一次一密

如果要的话，可以像 lastpass，本地加密后再传输。

@justfly naive.用 bettercap 轻松搞定你们的 https。要防止降级攻击，HSTS，甚至更严格的 PRELOAD LIST 之类。不过要看，银行一般都不会只相信 https