首先可以明确一点的是,HTTP协议下数据传输都是明文传输的,如果请求被截获了那完全可以盗用和篡改数据发出伪造请求。
HTTP协议是不安全的
HTTP协议一方面在数据传输过程中是明文传输的,另一方面也缺乏有效机制检查客户端与服务器端的连接是否是可靠的,所以安全性很低。
为什么很少听说使用HTTP协议暴露了用户的密码?这里只是说很少听说使用HTTP协议暴露了用户信息,但并不是代表没有!在HTTP协议下要窃取用户数据需要满足一定条件:
1、首先要截获到用户的请求
一般在家庭和办公网络基本上没有人截取你的网络请求,但一些公共WiFi就存在这方面的风险,你的电脑手机通过公共WiFi进行网络连接,攻击者控制了路由就可以监听你的网络请求(类似于本地抓包),请求数据直接暴露在攻击者面前。
2、密码必须是未加密的
很多大型网站都有自己的安全团队,在HTTP协议下用户输入密码时,在提交表单之前会对密码进行加密的(每次加密的密文都不一样),这样传到服务器端的密码是加密过的,即使攻击者截获了你的请求看到的密码也是加密后的密码,而且此密码攻击者拿过去也无法通过服务器端验证。
细心的朋友会发现某些站点输入密码后,提交表单时密码框里的密码感觉一下子变多了。
对于一些小型网站,这种漏洞都是存在的。
以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!
没有听说过 只能说明你的阅历太少 2003年的时候 我就靠arp攻击和http监听来收集网吧上网人的邮箱密码
国内大多数网站的密码在post传输过程中都是明文的,这正常吗?
不走https,局域网就是全透明的,管你怎么加密,抓包都可以身份冒领,另外前端js简单加密方法直接也可以拿到代码反解。所以老老实实上https。
当然https也有中间人手段,但是那个操作起步就要复杂些
1.使用https协议;2.前端对密码+盐取hash值;3.前后端约定加密解密的方法
为什么有的网站用户名必须在6位以上,密码不能有字符串?
这是哪家网站?做的有点不规范哈。一般必须6位以上的限制很常见,因为密码太短很快就能被了。但是“密码不能有字符串”的规定有点儿不合逻辑了。一般数字+字符混排更增加了密码安全性。如果这个网站只让用数字,不让用字符,与大多数常见做法相比,他们很不专业。
另外,你不用担心数据库太多。作为让人使用的系统,密码你不可能规定的太长,要不人类很容易忘。所以,结合用户体验、安全性等多方面因素,目前数据库支持的存储类型,完全能满足你的需要,不会造成数据库文件过大,你库里“数字+密码”的密码信息与主要客户信息比起来基本可以忽略不计的。所以,你只要专注考虑如何为用户提供好的“注册”、“登录”体验就行了。
- 上一篇: 手机网站建设如何做到麻雀虽小五脏俱全?
- 下一篇: 返回列表