V2ex在登录的时候是post明文密码吗？这样是不是很不安全？

大部分是https

@altchen 忘了说明了，我说的是大部分指的国内网站。国外网站大部分都是https

在网上发现这篇文章列出了一些网站 http://zhuoqiang.me/a/password-transport

是的，不安全。但是大多数网站都是这么干的。

更加安全的方法是：客户端RSA非对称加密 + HTTPS管道传输（可选）。
具体可以参考QQ企业邮箱的登录，你可以尝试用抓包软件（比如Wireshark）抓抓你局域网内的帐号密码；你会发现很多明文的帐号和密码。

但就算是此方案也无法防止木马直接获取你输入密码，这就是为神马国内的网银各种奇葩的原因——网民素质、网络环境和网络文化使然。

https(防嗅防伪造) + client sha1(防止网站方获取明文密码)

不用https，单纯js加密对于嗅听没用， 很简单的例子就是可以追加一段js到页面监听所有的input[@type=password]元素, 然后在form.submit的时候劫持所有数据到另一个url

不知道 @Livid 怎么考虑这个问题？