v2ex 登录分析

This topic created in 1722 days ago, the information mentioned may be changed or developed.

用 fiddler 抓包了 v2 的登录。发现提交了 5 个表单
key value 说明
cc197a53dabd5a18198dc6e01822dc8c81062d96645c2d672dc9facb213b47e6 skyphone001 用户名
ed29a56a15250e45a7f54daa29e6b07d2fbc51757164725ca7c6a4035977dd45 明文密码密码
e980331cd832118eb1068774e0020c5dd0fe2cba72f89887e307239594c3f936 xkhb 验证码
once 16929
next /

这种登录有什么好处。发现密码也没加密

密码

V2EX

fiddler

6 replies • 2021-09-22 09:55:01 +08:00

mightofcode

Sep 3, 2021

https 保证安全性，前端没必要加密

skyphone001

Sep 3, 2021

@mightofcode 问题是我抓包抓到了。支付宝密码是加密了。

AoEiuV020

Sep 3, 2021

我也觉得前端密码简单加密意义不大，因为本质上这个”加密结果“才是真正的密码，抓包照样抓到”密码“，
要更高级别安全性至少要额外设计一套方案，复杂度大增，
比如我们公司支付密码不参与传输，只用来加解密私钥，然后私钥去解密服务器给的临时密码，再用临时密码加密其他参数，这过程临时密码对上了就表示支付密码对上了，

adrianzhang

Sep 3, 2021

看用户群吧，像 v2 这种人均会翻的用户，谁会用别人的网络登录 v2 呢，至少经过自己的 vps 不是，这样的路，有必要在开始就加密么？

Overfill3641

Sep 20, 2021

@skyphone001 #2 过了 https 还能抓到？你这是登录的客户端上装了抓包软件吧？

skyphone001

Sep 22, 2021

@v2tudnew 直接用 fiddler4 抓就可以