这是一个创建于 4297 天前的主题,其中的信息可能已经有所发展或是发生改变。
一般的网站是怎么做的呢?据我观察,大部分网站登录时用的也都不是https。
 |
1
altchen 2012-08-27 20:06:41 +08:00
大部分是https
|
 |
2
skydiver OP @altchen 忘了说明了,我说的是大部分指的国内网站。国外网站大部分都是https
在网上发现这篇文章列出了一些网站 http://zhuoqiang.me/a/password-transport |
 |
3
saturn 2012-08-27 20:13:44 +08:00
是的,不安全。但是大多数网站都是这么干的。
更加安全的方法是:客户端RSA非对称加密 + HTTPS管道传输(可选)。 具体可以参考QQ企业邮箱的登录,你可以尝试用抓包软件(比如Wireshark)抓抓你局域网内的帐号密码;你会发现很多明文的帐号和密码。 但就算是此方案也无法防止木马直接获取你输入密码,这就是为神马国内的网银各种奇葩的原因——网民素质、网络环境和网络文化使然。 |
 |
4
Js 2012-08-27 20:26:47 +08:00
https(防嗅防伪造) + client sha1(防止网站方获取明文密码)
不用https,单纯js加密对于嗅听没用, 很简单的例子就是可以追加一段js到页面监听所有的input[@type=password]元素, 然后在form.submit的时候劫持所有数据到另一个url |
Select Language