[問題] 想問https發送表單加密的問題 vi000246 PTT批踢踢實業坊

作者: vi000246 (Vi) 2017-09-26 23:59:03

想問一下我們公司的網站都是用https的
但是我用fiddler看封包
在WebForms頁籤的body還是能看到明文的密碼
想問這是正常的嗎
有什麼方法能避免使用者的密碼被攔截嗎
剛試了一下銀行的登入功能
攔到的密碼是加密後的
這是用javascript加密的嗎?

作者: qa17b (聖猿降臨眾酸退散) 2017-09-27 00:24:00

想要做出不會被攔截的加密系統基本上不可能啦，頂多延長破解時間或降低風險而已

作者: AndCycle (AndCycle) 2017-09-27 00:57:00

你都用fiddler了, 設定流程就打金鑰進去了 ...

作者: ssccg (23) 2017-09-27 04:43:00

你用fiddler就是你自己MITM自己啊...https正確使用是沒問題的

作者: vi000246 (Vi) 2017-09-27 12:25:00

原來如此我再查查MITM相關的資料好了不太懂fiddler解密https的原理

作者: ssccg (23) 2017-09-27 12:40:00

就是fiddler偽冒你連的網站，你建立的https連線是連fiddlerserver端當然就解密內容了，fiddler再跟真的網站建https

作者: vi000246 (Vi) 2017-09-27 17:24:00

大致了解了感謝s大的說明

作者: oToToT (å±å©) 2017-09-27 17:34:00

你撈自己的封包本來就撈的到key吧

作者: Hevak (Arthow Eshes) 2017-09-27 21:10:00

之前看過銀聯的前端程式碼，他送出去的密碼會另外再用一把金鑰(應該是公鑰)算過才寫回去input欄位不過我看過的不夠多，不是很確定這樣做法常見不常見

作者: vi000246 (Vi) 2017-09-27 21:46:00

這好像是RSA加密

作者: ssccg (23) 2017-09-27 21:47:00

用了https再多做一個加密是完全沒意義的..除非說連線server不是他自己家的(像CDN)，要再多做一層endto end加密到後端驗證server的

繼續閱讀