登录网站时,输入登录名、密码,用 抓包工具 抓一下包就知道密码是否进行加密。
一般HTTP访问密码以明文传输,https 或者SSL是加密的。
为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,密码显示的还是明文的?
这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。
加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。
可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在这样的可能。
不过在银行电商等安全防护程度较高的网站,除了https加密外,还有安全控件加密,用户必须下载安全控件后才能输入密码。