为什么站点实现了https加密之后还是能看到相关数据
2016-10-08 00:00
330 查看
为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,并且还是明文的?例如说这样:
![](https://static.oschina.net/uploads/space/2016/1008/084844_cJB2_2242028.png)
这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。
加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。
可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在这样的可能。不过在银行电商等安全防护程度较高的网站,除了https加密外,还有安全控件加密,用户必须下载安全控件后才能输入密码,以支付宝为例:通过下图可以发现就算在本地也无法查看账号信息。
![](https://static.oschina.net/uploads/space/2016/1008/084820_g2Hc_2242028.png)
针对这个问题,沃通建议:行政、金融、电商等需要高安全防护的站点在实行https加密外,还应该部署沃通客户端证书,以强身份认证的方式替代不安全的账号密码认证,确保登录用户身份正确的同时还能防止站点弱口令漏洞潜入,最大程度保护用户信息安全。
![](https://static.oschina.net/uploads/space/2016/1008/084844_cJB2_2242028.png)
这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。
加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。
可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在这样的可能。不过在银行电商等安全防护程度较高的网站,除了https加密外,还有安全控件加密,用户必须下载安全控件后才能输入密码,以支付宝为例:通过下图可以发现就算在本地也无法查看账号信息。
![](https://static.oschina.net/uploads/space/2016/1008/084820_g2Hc_2242028.png)
针对这个问题,沃通建议:行政、金融、电商等需要高安全防护的站点在实行https加密外,还应该部署沃通客户端证书,以强身份认证的方式替代不安全的账号密码认证,确保登录用户身份正确的同时还能防止站点弱口令漏洞潜入,最大程度保护用户信息安全。
相关文章推荐
- 为什么站点使用https加密之后还能看到相关数据
- HTTPS加密访问Web站点的实现和虚拟站点的实现例析(一)
- HTTPS加密访问Web站点的实现和虚拟站点的实现例析(二)
- 基于HTTPS协议的12306抢票软件设计与实现--相关接口以及数据格式
- 依据HTTPS中TLS/SSL加密原理衍生的数据加密实现
- https加密访问web站点的实现
- 二、基于HTTPS协议的12306抢票软件设计与实现--相关接口以及数据格式
- https为什么安全之数据加密
- 基于HTTPS协议的12306抢票软件设计与实现--相关接口以及数据格式
- 使用https加密之后的数据问题
- 基于HTTPS协议的12306抢票软件设计与实现--相关接口以及数据格式
- 利用Python进行数据分析_python3实现_pandas入门_相关系数与协方差
- [置顶] Python数据相关系数矩阵和热力图轻松实现
- nginx 网站实现全局https加密协议
- 芝麻HTTP:JavaScript加密逻辑分析与Python模拟执行实现数据爬取
- Charles获取https数据相关配置
- 中巨伟业推出加密芯片SMEC98SP实现数据加密的方法
- 注册-登录-数据都存在数据库里面-注册的时候,密码存的是加密之后的密码-登录成功之后打印当前的日期
- 你有哪些「做过某功能的改进之后,数据得到大幅提升」的经历? - 何明科的回答 - 知乎 https://www.zhihu.com/question/40500856/answer/105348246