1

通过嗅探器(提琴手),我可以检查通过我的 PC 发送到网络的流。令人惊讶的是,我在登录 google 的帐户(https)时发现,密码是以明文形式发送的,例如

POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1 
... 

Email=abc@gmail.com&**Passwd=12345678** 

我的问题是:为什么即使使用 https 协议,密码也没有加密传递?

4

2 回答 2

5

HTTPS 对整个请求和响应进行加密。

但是,您告诉 Fiddler 使用不受信任的根证书进行解密。

换句话说,你是在给自己做 MITMing,并告诉浏览器忽略不受信任的证书。

于 2013-06-16T15:24:38.680 回答
4

不,密码不会在未经加密的情况下以明文形式发送给 Google。谷歌正在使用 SSL,不用担心。但是您在 PC 上安装了 Fiddler。当您这样做时,Fiddler 在您的计算机上注册了一个特定的根级别证书,并且能够解密您的 Web 浏览器和 Internet 之间的流量。通过安装 Fiddler,您明确授予此应用程序解密流量的可能性。所以,是的,任何能够获得对 PC 的管理员访问权限的人都能够在这台 PC 上安装根级别证书,从而能够解密这台 PC 和互联网之间的所有流量。你期待什么?你认为木马如何运作?

但是任何中间人攻击都不起作用,因为它们无法解密您的网络浏览器和互联网之间的 SSL 流量。

于 2013-06-16T15:24:25.913 回答