maggie潘
首先可以明確一點的是,HTTP協議下數據傳輸都是明文傳輸的,如果請求被截獲了那完全可以盜用和篡改數據發出偽造請求。
HTTP協議是不安全的
HTTP協議一方面在數據傳輸過程中是明文傳輸的,另一方面也缺乏有效機制檢查客戶端與服務器端的連接是否是可靠的,所以安全性很低。
為什麼很少聽說使用HTTP協議暴露了用戶的密碼?
這裡只是說很少聽說使用HTTP協議暴露了用戶信息,但並不是代表沒有!在HTTP協議下要竊取用戶數據需要滿足一定條件:
1、首先要截獲到用戶的請求
一般在家庭和辦公網絡基本上沒有人截取你的網絡請求,但一些公共WiFi就存在這方面的風險,你的電腦手機通過公共WiFi進行網絡連接,攻擊者控制了路由就可以監聽你的網絡請求(類似於本地抓包),請求數據直接暴露在攻擊者面前。
2、密碼必須是未加密的
很多大型網站都有自己的安全團隊,在HTTP協議下用戶輸入密碼時,在提交表單之前會對密碼進行加密的(每次加密的密文都不一樣),這樣傳到服務器端的密碼是加密過的,即使攻擊者截獲了你的請求看到的密碼也是加密後的密碼,而且此密碼攻擊者拿過去也無法通過服務器端驗證。
細心的朋友會發現某些站點輸入密碼後,提交表單時密碼框裡的密碼感覺一下子變多了。
對於一些小型網站,這種漏洞都是存在的。
網絡圈
沒有聽說過 只能說明你的閱歷太少 2003年的時候 我就靠arp攻擊和http監聽來收集網吧上網人的郵箱密碼
40歲的程序員
你把“abcdefg”加密後變成“58756987”,然後把“58756987”發到網上,誰都能看到,這影響加密了嗎?
http確實是誰都能看到,但依然可以傳遞加密後的內容
https主要優點是身份認證,加密傳輸http就能做到
有一段時間可以弄到郵箱密碼,不代表http沒法可靠傳遞密碼,而是程序員太鬆懈了,沒有采取足夠好的措施
別忘了有js啊
時光之心15
這個問題似乎已經有了很多人回答了,但是好像他們都沒回答對題點!
關於HTTP明文傳輸的缺點,以及它導致用戶密碼洩露的原理的解說,請大家移步本問題下的其它回答,它們都回答得很完善了,不需要再補充。
題主問是的:為什麼沒聽說過……?
原因一:你聽說過的事情太少了。
就像很少有人聽說過“慢阻肺”這種疾病,但是它卻是世界第四大致死原因;
原因二:因為用HTTP協議來傳輸用戶密碼,是太過於低級的安全漏洞。
往往是許多網站被黑客攻擊的若干漏洞中比較基礎的漏洞。這就好像是一家銀行金庫被竊,其中有若干個問題,但一般只會強調竊賊採用高效炸藥、高端工具,而卻會較少提及金庫巡查人員懶惰的問題;
原因三:往往只有大公司出的問題才容易會受到關注。
而大公司對於HTTP明文傳輸用戶密碼的低級錯誤很敏感,要麼在早期就加入了其它加密手段,要麼直接改用HTTPS的新協議。而大量個人網站、小企業網站在這方面吃了虧,也就只有自己與周圍人知道,並沒能傳播出去。剛剛講過
那麼多博士不知所然。
他是明文,但他也是面向連接的,當然,這個連接也是可以被截取或者篡改的。而https加密了報文和鏈接,比較難被截取和篡改。
那麼為什麼http協議密碼不被竊取呢?因為雖然報文你可以看的到,但密碼是加密的,類似md5這樣的不可逆算法,就算給你加密後報文,你依舊沒法知道密碼。
但是黑客可以就用這個加密的密碼登錄,所以還是https安全一點,安全一點而已。
鞠躬車馬前
網站丟不丟用戶數據跟它是否使用HTTPS協議無關,關鍵在於存儲用數據的網站服務器是否做了足夠的防護。
HTTPS是用來傳輸用戶訪問數據的協議,協議本事是安全的。如果採用不加密的HTTP協議,那麼用戶的訪問流量在往返網站的過程中,只要能被截獲就會洩露,因為數據是沒有加密的。用戶的訪問流量在互聯網上傳輸是要經過好多環節的,在每一個環節都有可能被截獲。就好比我們寄快遞,HTTP協議使用透明的包裝,而HTTPS協議則是包裹得嚴嚴實實的。如果使用透明的包裝,那麼收快遞的、送快遞的、中專站甚至是路人甲跟隔壁老王都能看到你寄的是什麼東西,這樣安全嗎?
我4好人
給點個睛,如果網絡原理學得好,會用一些抓包工具,再想辦法控制一臺路由器,這辦法不教了,實驗環境可以用自己機器代替。傳啥就能抓到啥,只要是不加密的數據包,傳啥就能看到啥,還能篡改。
dttsw
如果網吧網關開關數據包截取軟件,所有客戶機的http請求密碼都能看到。公公wifi同理
飛鷹劍
能進行加密操作的,又不止傳輸。
chocolateT
密碼都是加密後傳輸給服務器,比如密碼使用md5加密,加密後的密文是不可逆的,即使攔截了也沒用梅。
