作者vi000246 (Vi)
看板Web_Design
標題[問題] 想問https發送表單加密的問題
時間Tue Sep 26 23:59:03 2017
想問一下 我們公司的網站都是用https的
但是我用fiddler看封包
在WebForms頁籤的body還是能看到明文的密碼
想問這是正常的嗎
有什麼方法能避免使用者的密碼被攔截嗎
剛試了一下銀行的登入功能
攔到的密碼是加密後的
這是用javascript加密的嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.176.7
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Web_Design/M.1506441545.A.4AA.html
1F:→ qa17b: 想要做出不會被攔截的加密系統基本上不可能啦,頂多延長破 09/27 00:24
2F:→ qa17b: 解時間或降低風險而已 09/27 00:24
3F:→ AndCycle: 你都用fiddler了, 設定流程就打金鑰進去了 ... 09/27 00:57
4F:→ ssccg: 你用fiddler就是你自己MITM自己啊... 09/27 04:43
5F:→ ssccg: https正確使用是沒問題的 09/27 04:44
6F:→ ssccg: 另外你所謂銀行密碼是加密後的,我猜大概是hash 09/27 04:47
7F:→ ssccg: 單純的client side hash其實是沒意義的 09/27 04:48
8F:→ vi000246: 原來如此 我再查查MITM相關的資料好了 09/27 12:25
9F:→ vi000246: 不太懂fiddler解密https的原理 09/27 12:25
10F:→ ssccg: 就是fiddler偽冒你連的網站,你建立的https連線是連fiddler 09/27 12:40
11F:→ ssccg: server端當然就解密內容了,fiddler再跟真的網站建https 09/27 12:40
12F:→ vi000246: 大致了解了 感謝s大的說明 09/27 17:24
13F:推 oToToT: 你撈自己的封包本來就撈的到key吧 09/27 17:34
14F:推 Hevak: 之前看過銀聯的前端程式碼,他送出去的密碼會另外再用一把 09/27 21:10
15F:→ Hevak: 金鑰(應該是公鑰)算過才寫回去input欄位 09/27 21:11
16F:→ Hevak: 不過我看過的不夠多,不是很確定這樣做法常見不常見 09/27 21:11
17F:→ vi000246: 這好像是RSA加密 09/27 21:46
18F:→ ssccg: 用了https再多做一個加密是完全沒意義的.. 09/27 21:47
19F:→ ssccg: 除非說連線server不是他自己家的(像CDN),要再多做一層end 09/27 21:50
20F:→ ssccg: to end加密到後端驗證server的 09/27 21:50