想問一下 我們公司的網站都是用https的
但是我用fiddler看封包
在WebForms頁籤的body還是能看到明文的密碼
想問這是正常的嗎
有什麼方法能避免使用者的密碼被攔截嗎
剛試了一下銀行的登入功能
攔到的密碼是加密後的
這是用javascript加密的嗎?
作者:
qa17b (聖猿降臨 眾酸退散)
2017-09-27 00:24:00想要做出不會被攔截的加密系統基本上不可能啦,頂多延長破解時間或降低風險而已
作者:
AndCycle (AndCycle)
2017-09-27 00:57:00你都用fiddler了, 設定流程就打金鑰進去了 ...
作者:
ssccg (23)
2017-09-27 04:43:00你用fiddler就是你自己MITM自己啊...https正確使用是沒問題的
原來如此 我再查查MITM相關的資料好了不太懂fiddler解密https的原理
作者:
ssccg (23)
2017-09-27 12:40:00就是fiddler偽冒你連的網站,你建立的https連線是連fiddlerserver端當然就解密內容了,fiddler再跟真的網站建https
作者:
oToToT (å±å©)
2017-09-27 17:34:00你撈自己的封包本來就撈的到key吧
作者:
Hevak (Arthow Eshes)
2017-09-27 21:10:00之前看過銀聯的前端程式碼,他送出去的密碼會另外再用一把金鑰(應該是公鑰)算過才寫回去input欄位不過我看過的不夠多,不是很確定這樣做法常見不常見
作者:
ssccg (23)
2017-09-27 21:47:00用了https再多做一個加密是完全沒意義的..除非說連線server不是他自己家的(像CDN),要再多做一層endto end加密到後端驗證server的