在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?
一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。
下面, 我们以知乎的登录过程来看看,输入密码后, fiddler抓包如下:
居然是明文密码!!!
现在你要问, 为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。
我斗胆, 知乎不敢在后台存用户的明文密码。 而注册过程和登录的过程, 知乎后台是能拿到用户密码的, 所以说, 知乎的后台开发同学, 仍然有机会接触到用户的文明密码, 这是很危险的啊。 怎么让用户放心呢? 另外, 客户端能抓到明文, 坏人很容易植入木马, 获取到登录的密码, 所以, 用https传输密码, 也是不安全的。
另外一个某网站(在此, 我不点名)居然也是用https传输明文, 呵呵哒。 本来, 用哈希加盐就能解决问题。
我们来看下支付宝, 大家猜猜结果, 如果支付宝也是这样, 估计阿里就不是阿里了, 来抓包看看:
可见, 支付宝是对明文密码进行了处理, 然后用https传输的。 这是预期中的, 也是应该的。给个赞。
我又试了某知名网站(在此, 我不点名), 发现也是非明文密码, 且用https传输, 赞一个。
不多说。
