PTT數位生活區 / Web_Design

[問題] 想問https發送表單加密的問題

看板Web_Design作者 (Vi)時間7年前 (2017/09/26 23:59), 編輯推噓2(2018)
留言20則, 6人參與, 最新討論串1/1
想問一下 我們公司的網站都是用https的 但是我用fiddler看封包 在WebForms頁籤的body還是能看到明文的密碼 想問這是正常的嗎 有什麼方法能避免使用者的密碼被攔截嗎 剛試了一下銀行的登入功能 攔到的密碼是加密後的 這是用javascript加密的嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.176.7 ※ 文章網址: https://www.ptt.cc/bbs/Web_Design/M.1506441545.A.4AA.html
09/27 00:24, , 1F
想要做出不會被攔截的加密系統基本上不可能啦,頂多延長破
09/27 00:24, 1F
09/27 00:24, , 2F
解時間或降低風險而已
09/27 00:24, 2F
09/27 00:57, , 3F
你都用fiddler了, 設定流程就打金鑰進去了 ...
09/27 00:57, 3F
09/27 04:43, , 4F
你用fiddler就是你自己MITM自己啊...
09/27 04:43, 4F
09/27 04:44, , 5F
https正確使用是沒問題的
09/27 04:44, 5F
09/27 04:47, , 6F
另外你所謂銀行密碼是加密後的,我猜大概是hash
09/27 04:47, 6F
09/27 04:48, , 7F
單純的client side hash其實是沒意義的
09/27 04:48, 7F
09/27 12:25, , 8F
原來如此 我再查查MITM相關的資料好了
09/27 12:25, 8F
09/27 12:25, , 9F
不太懂fiddler解密https的原理
09/27 12:25, 9F
09/27 12:40, , 10F
就是fiddler偽冒你連的網站,你建立的https連線是連fiddler
09/27 12:40, 10F
09/27 12:40, , 11F
server端當然就解密內容了,fiddler再跟真的網站建https
09/27 12:40, 11F
09/27 17:24, , 12F
大致了解了 感謝s大的說明
09/27 17:24, 12F
09/27 17:34, , 13F
你撈自己的封包本來就撈的到key吧
09/27 17:34, 13F
09/27 21:10, , 14F
之前看過銀聯的前端程式碼,他送出去的密碼會另外再用一把
09/27 21:10, 14F
09/27 21:11, , 15F
金鑰(應該是公鑰)算過才寫回去input欄位
09/27 21:11, 15F
09/27 21:11, , 16F
不過我看過的不夠多,不是很確定這樣做法常見不常見
09/27 21:11, 16F
09/27 21:46, , 17F
這好像是RSA加密
09/27 21:46, 17F
09/27 21:47, , 18F
用了https再多做一個加密是完全沒意義的..
09/27 21:47, 18F
09/27 21:50, , 19F
除非說連線server不是他自己家的(像CDN),要再多做一層end
09/27 21:50, 19F
09/27 21:50, , 20F
to end加密到後端驗證server的
09/27 21:50, 20F
更多 vi000246 的文章
文章代碼(AID): #1Podb9Ig (Web_Design)
Web_Design 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 vi000246 的文章
文章代碼(AID): #1Podb9Ig (Web_Design)