maggie潘

首先可以明確一點的是，HTTP協議下數據傳輸都是明文傳輸的，如果請求被截獲了那完全可以盜用和篡改數據發出偽造請求。

HTTP協議是不安全的

HTTP協議一方面在數據傳輸過程中是明文傳輸的，另一方面也缺乏有效機制檢查客戶端與服務器端的連接是否是可靠的，所以安全性很低。

為什麼很少聽說使用HTTP協議暴露了用戶的密碼？

這裡只是說很少聽說使用HTTP協議暴露了用戶信息，但並不是代表沒有！在HTTP協議下要竊取用戶數據需要滿足一定條件：

1、首先要截獲到用戶的請求

一般在家庭和辦公網絡基本上沒有人截取你的網絡請求，但一些公共WiFi就存在這方面的風險，你的電腦手機通過公共WiFi進行網絡連接，攻擊者控制了路由就可以監聽你的網絡請求（類似於本地抓包），請求數據直接暴露在攻擊者面前。

2、密碼必須是未加密的

很多大型網站都有自己的安全團隊，在HTTP協議下用戶輸入密碼時，在提交表單之前會對密碼進行加密的（每次加密的密文都不一樣）

細心的朋友會發現某些站點輸入密碼後，提交表單時密碼框裡的密碼感覺一下子變多了。

對於一些小型網站，這種漏洞都是存在的。

網絡圈

這個問題似乎已經有了很多人回答了，但是好像他們都沒回答對題點！

關於HTTP明文傳輸的缺點，以及它導致用戶密碼洩露的原理的解說，請大家移步本問題下的其它回答，它們都回答得很完善了，不需要再補充。

題主問是的：為什麼沒聽說過……？

原因一：你聽說過的事情太少了。

就像很少有人聽說過“慢阻肺”這種疾病，但是它卻是世界第四大致死原因；

原因二：因為用HTTP協議來傳輸用戶密碼，是太過於低級的安全漏洞。

往往是許多網站被黑客攻擊的若干漏洞中比較基礎的漏洞。這就好像是一家銀行金庫被竊，其中有若干個問題，但一般只會強調竊賊採用高效炸藥、高端工具，而卻會較少提及金庫巡查人員懶惰的問題；

原因三：往往只有大公司出的問題才容易會受到關注。

剛剛講過

那麼多博士不知所然。

他是明文，但他也是面向連接的，當然，這個連接也是可以被截取或者篡改的。而https加密了報文和鏈接，比較難被截取和篡改。

那麼為什麼http協議密碼不被竊取呢？因為雖然報文你可以看的到，但密碼是加密的，類似md5這樣的不可逆算法，就算給你加密後報文，你依舊沒法知道密碼。

但是黑客可以就用這個加密的密碼登錄，所以還是https安全一點，安全一點而已。

鞠躬車馬前

沒有聽說過 只能說明你的閱歷太少 2003年的時候 我就靠arp攻擊和http監聽來收集網吧上網人的郵箱密碼

40歲的程序員

密碼都是加密後傳輸給服務器，比如密碼使用md5加密，加密後的密文是不可逆的，即使攔截了也沒用梅。

生活程序猿

因為用戶密碼並不是用明文傳輸的，而是密碼的hash值。

hash是一個單向限門算法，簡單說可以計算任意消息的hash值，但不能通過hash值反推消息內容。

服務器將用戶密碼的hash值存入數據庫，所以即使是服務器，也有可能不知道密碼的明文。用戶登錄的時候，服務器拿傳入的hash值和數據庫的hash值比對，如果一致則驗證通過

戰神猴哥

因為網頁中會有代碼加密輸入的密碼，這樣http明文中顯示的是加密後的密文。或者是發送密碼時用https協議，而身份驗證通過後再跳轉會http協議。

十幾年前確實密碼都是明文傳輸的，那時只要局域網中開啟網卡的混合模式嗅探，就能獲取到局域網中別人的郵箱用戶名和密碼。

用戶86262

這麼簡單的問題居然沒有答對的，頭條水平需要提高。http是明文傳輸的，非常不安全。使用它基本上密碼都會被別人知道。現在廣泛使用的都是https協議。https在上層使用了非對稱加密和對稱加密技術，使得點對點傳世比較安全。最新版的chrome瀏覽器強制使用https，對使用http協議的網站都會標示成不安全的網站

bob82551866

如果密碼加密後使用http傳輸不能直接截獲明文密碼,但是你別忘了,https裡的ssl的作用不只是加密,還有防篡改和保證網站的真實性的作用。如果你在地址欄輸入網址時沒有手動在網址前加https:// 那麼攻擊者就可以偽造你想要訪問的網站,或者篡改真正的網頁,往網頁里加入惡意代碼,那麼你輸入的密碼就會被輕易竊取

無名氏126224576

網站使用http的時代，你用攔截數據包，確實可以攔截到密碼，但是，你只是攔截到一個或者幾個用戶的密碼，不可能攔截到一個站幾百萬幾千萬個用戶的密碼。

攔截的方法通常是在用戶的上層網關設置攔截，比如你公司的局域網，只要願意，你公司的網管是可以攔截到你的密碼的，這也不難做到。但是，自己人黑自己人，這不是技術層面的事，是人性道德法律的事。

想攔截整個站的密碼，電信運營商和網站機房託管商可以做到。只不過，一旦發現必然坐牢。誰也不幹這事。

關鍵字: 明文 科技 互聯網