1

计划在一个项目中第一次实施 https / ssl,并且在我认为我想更深入地挖掘它。

我正在查看使用 httpfox 登录amazon.com时发送的数据- 表单发送一个长 POST 字符串,这是其中的一个子集(显然电子邮件和密码已更改)

email=name%40example.co.uk&create=0&password=letmein

这似乎就在那里,如果有人正在运行数据包嗅探器,他们是否能够看到这些数据,如果不是,加密在哪一点

4

1 回答 1

2

浏览器和服务器之间的加密作为一个整体被加密——不是单独的 POST 数据,而是整个 HTTP 请求。

您在 httpfox 中看到的只是数据在实际发送之前的客户端视图。(显示已经加密的 HTTP 请求数据对调试没有多大价值;除了这些工具通常在非常接近浏览器前端的级别上运行之外,加密还没有发生。)

数据包嗅探器只会在整个请求已经在从客户端到服务器的途中发挥作用,当然没有什么仍然是“明文的”,因此攻击者只会看到已经加密的数据,因此无法理解它(当然,除非他是美国国家安全局,正如我们几天以来所知道的那样)。

于 2013-09-08T12:22:48.660 回答