如果我可以在 Fiddler Webform 会话中看到我的密码,这是否意味着它正在发送纯文本?或者我怎么知道网站是否以纯文本形式发送密码?
问问题
5510 次
1 回答
5
如果您可以看到它,并且协议是 HTTP,那么它是以纯文本形式发送的。但即使您不能将其视为纯文本,也并不意味着它已安全加密并且可能很容易恢复,就像HTTP 基本身份验证的情况一样(除非与 HTTPS 结合使用,请参见下文)。
基本身份验证看起来像
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
这不是纯文本,而只是 base 64 编码,即直接解码回纯文本。
但是,如果协议是 HTTPS,那么您看到的纯文本对您的机器和服务器之间的任何嗅探器都是完全加密的。这包括完整的 http 请求和响应:Url、Http 标头和 Http 正文。所有可以“嗅探”的都是使用的 IP 地址和端口,通常还有域名,因为您的浏览器通过对 DNS 进行(非加密)调用获得 IP 地址。
这要求您将 Fiddler 配置为为您解密 HTTPS,这需要您“确定”Fiddler 的证书,以便它可以执行相当于“友好”中间人攻击的操作。
于 2012-11-28T03:52:47.760 回答