既然说HTTP是明文传输,为什么没听说哪个网站因为采用http协议而暴露了用户的密码?

maggie潘


首先可以明确一点的是,HTTP协议下数据传输都是明文传输的,如果请求被截获了那完全可以盗用和篡改数据发出伪造请求。

HTTP协议是不安全的

HTTP协议一方面在数据传输过程中是明文传输的,另一方面也缺乏有效机制检查客户端与服务器端的连接是否是可靠的,所以安全性很低。

为什么很少听说使用HTTP协议暴露了用户的密码?

这里只是说很少听说使用HTTP协议暴露了用户信息,但并不是代表没有!在HTTP协议下要窃取用户数据需要满足一定条件:

1、首先要截获到用户的请求

一般在家庭和办公网络基本上没有人截取你的网络请求,但一些公共WiFi就存在这方面的风险,你的电脑手机通过公共WiFi进行网络连接,攻击者控制了路由就可以监听你的网络请求(类似于本地抓包),请求数据直接暴露在攻击者面前。

2、密码必须是未加密的

很多大型网站都有自己的安全团队,在HTTP协议下用户输入密码时,在提交表单之前会对密码进行加密的(每次加密的密文都不一样),这样传到服务器端的密码是加密过的,即使攻击者截获了你的请求看到的密码也是加密后的密码,而且此密码攻击者拿过去也无法通过服务器端验证。

细心的朋友会发现某些站点输入密码后,提交表单时密码框里的密码感觉一下子变多了。

对于一些小型网站,这种漏洞都是存在的。


以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!

网络圈


没有听说过 只能说明你的阅历太少 2003年的时候 我就靠arp攻击和http监听来收集网吧上网人的邮箱密码


40岁的程序员


你把“abcdefg”加密后变成“58756987”,然后把“58756987”发到网上,谁都能看到,这影响加密了吗?

http确实是谁都能看到,但依然可以传递加密后的内容

https主要优点是身份认证,加密传输http就能做到

有一段时间可以弄到邮箱密码,不代表http没法可靠传递密码,而是程序员太松懈了,没有采取足够好的措施

别忘了有js啊


时光之心15


这个问题似乎已经有了很多人回答了,但是好像他们都没回答对题点!


关于HTTP明文传输的缺点,以及它导致用户密码泄露的原理的解说,请大家移步本问题下的其它回答,它们都回答得很完善了,不需要再补充。


题主问是的:为什么没听说过……?

原因一:你听说过的事情太少了。

就像很少有人听说过“慢阻肺”这种疾病,但是它却是世界第四大致死原因;

原因二:因为用HTTP协议来传输用户密码,是太过于低级的安全漏洞。

往往是许多网站被黑客攻击的若干漏洞中比较基础的漏洞。这就好像是一家银行金库被窃,其中有若干个问题,但一般只会强调窃贼采用高效炸药、高端工具,而却会较少提及金库巡查人员懒惰的问题;

原因三:往往只有大公司出的问题才容易会受到关注。

而大公司对于HTTP明文传输用户密码的低级错误很敏感,要么在早期就加入了其它加密手段,要么直接改用HTTPS的新协议。而大量个人网站、小企业网站在这方面吃了亏,也就只有自己与周围人知道,并没能传播出去。

刚刚讲过


那么多博士不知所然。

他是明文,但他也是面向连接的,当然,这个连接也是可以被截取或者篡改的。而https加密了报文和链接,比较难被截取和篡改。

那么为什么http协议密码不被窃取呢?因为虽然报文你可以看的到,但密码是加密的,类似md5这样的不可逆算法,就算给你加密后报文,你依旧没法知道密码。

但是黑客可以就用这个加密的密码登录,所以还是https安全一点,安全一点而已。


鞠躬车马前


网站丢不丢用户数据跟它是否使用HTTPS协议无关,关键在于存储用数据的网站服务器是否做了足够的防护。

HTTPS是用来传输用户访问数据的协议,协议本事是安全的。如果采用不加密的HTTP协议,那么用户的访问流量在往返网站的过程中,只要能被截获就会泄露,因为数据是没有加密的。用户的访问流量在互联网上传输是要经过好多环节的,在每一个环节都有可能被截获。就好比我们寄快递,HTTP协议使用透明的包装,而HTTPS协议则是包裹得严严实实的。如果使用透明的包装,那么收快递的、送快递的、中专站甚至是路人甲跟隔壁老王都能看到你寄的是什么东西,这样安全吗?


我4好人


给点个睛,如果网络原理学得好,会用一些抓包工具,再想办法控制一台路由器,这办法不教了,实验环境可以用自己机器代替。传啥就能抓到啥,只要是不加密的数据包,传啥就能看到啥,还能篡改。


dttsw


如果网吧网关开关数据包截取软件,所有客户机的http请求密码都能看到。公公wifi同理


飞鹰剑


能进行加密操作的,又不止传输。


chocolateT


密码都是加密后传输给服务器,比如密码使用md5加密,加密后的密文是不可逆的,即使拦截了也没用梅。


分享到:


相關文章: