V2ex在登录的时候是post明文密码吗?这样是不是很不安全?

2012-08-27 19:56:27 +08:00
 skydiver
一般的网站是怎么做的呢?据我观察,大部分网站登录时用的也都不是https。
3722 次点击
所在节点    V2EX
5 条回复
altchen
2012-08-27 20:06:41 +08:00
大部分是https
skydiver
2012-08-27 20:13:21 +08:00
@altchen 忘了说明了,我说的是大部分指的国内网站。国外网站大部分都是https

在网上发现这篇文章列出了一些网站 http://zhuoqiang.me/a/password-transport
saturn
2012-08-27 20:13:44 +08:00
是的,不安全。但是大多数网站都是这么干的。

更加安全的方法是:客户端RSA非对称加密 + HTTPS管道传输(可选)。
具体可以参考QQ企业邮箱的登录,你可以尝试用抓包软件(比如Wireshark)抓抓你局域网内的帐号密码;你会发现很多明文的帐号和密码。

但就算是此方案也无法防止木马直接获取你输入密码,这就是为神马国内的网银各种奇葩的原因——网民素质、网络环境和网络文化使然。
Js
2012-08-27 20:26:47 +08:00
https(防嗅防伪造) + client sha1(防止网站方获取明文密码)

不用https,单纯js加密对于嗅听没用, 很简单的例子就是可以追加一段js到页面监听所有的input[@type=password]元素, 然后在form.submit的时候劫持所有数据到另一个url
skydiver
2012-08-27 21:12:19 +08:00
不知道 @Livid 怎么考虑这个问题?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/46212

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX