V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skydiver
V2EX  ›  V2EX

V2ex在登录的时候是post明文密码吗?这样是不是很不安全?

  •  
  •   skydiver · 2012-08-27 19:56:27 +08:00 · 3721 次点击
    这是一个创建于 4472 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一般的网站是怎么做的呢?据我观察,大部分网站登录时用的也都不是https。
    5 条回复    1970-01-01 08:00:00 +08:00
    altchen
        1
    altchen  
       2012-08-27 20:06:41 +08:00
    大部分是https
    skydiver
        2
    skydiver  
    OP
       2012-08-27 20:13:21 +08:00
    @altchen 忘了说明了,我说的是大部分指的国内网站。国外网站大部分都是https

    在网上发现这篇文章列出了一些网站 http://zhuoqiang.me/a/password-transport
    saturn
        3
    saturn  
       2012-08-27 20:13:44 +08:00
    是的,不安全。但是大多数网站都是这么干的。

    更加安全的方法是:客户端RSA非对称加密 + HTTPS管道传输(可选)。
    具体可以参考QQ企业邮箱的登录,你可以尝试用抓包软件(比如Wireshark)抓抓你局域网内的帐号密码;你会发现很多明文的帐号和密码。

    但就算是此方案也无法防止木马直接获取你输入密码,这就是为神马国内的网银各种奇葩的原因——网民素质、网络环境和网络文化使然。
    Js
        4
    Js  
       2012-08-27 20:26:47 +08:00
    https(防嗅防伪造) + client sha1(防止网站方获取明文密码)

    不用https,单纯js加密对于嗅听没用, 很简单的例子就是可以追加一段js到页面监听所有的input[@type=password]元素, 然后在form.submit的时候劫持所有数据到另一个url
    skydiver
        5
    skydiver  
    OP
       2012-08-27 21:12:19 +08:00
    不知道 @Livid 怎么考虑这个问题?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3545 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 11:16 · PVG 19:16 · LAX 03:16 · JFK 06:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.