为什么能看到https报文的明文?

最新推荐文章于 2024-08-23 15:13:57 发布
最新推荐文章于 2024-08-23 15:13:57 发布
阅读量2.3k 收藏 4
点赞数 3
分类专栏: 请叫我攻城狮 文章标签: https SSL/TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmflying8177/article/details/100175883
版权

一、问题的提出

昨天发生了一个跟https有关的生产bug。

事后有的小伙伴表示虽然看了一些网上的资料,但是还是不太理解https通讯的全流程,我就用比较通俗的说法给他整体讲了一遍。

然后小伙伴突然问了一个很有意思的问题:既然使用https发送报文,又非对称加密,又对称加密(会话秘钥)的,反正各种加密,那为什么我按个F12还是能看到明文?这密都加到哪儿去了?

这是一个挺好的问题,说明他真的动脑子在想了。

二、网络七层协议

学习过基础网络知识的软件工程师们,应该都了解这个经典的网络七层协议(OSI模型)。

OSI模型

其中的应用层、表示层、会话层有时候也会合并起来简单地表示为“应用层”,变成五层协议。

这五层协议的分工,曾经在知乎上面看到过一个非常通俗形象的总结,借用过来:

  • 买东西时候要封装打包(应用层)
  • 打包后要在包裹上贴快递单(传输层)
  • 在快递单上要写源地址目的地址(网络层)
  • 让快递小哥来取件(数据链路层)
  • 快递小哥骑车送件到收货人(物理层)

原回答地址 作者ID:后生)

三、问题的答案

所谓的 https ,其实就是 http + SSL/TLS 两种协议的合体。

同时,http协议是应用层协议,而SSL/TLS是传输层协议。

那问题的答案就很清晰了,在你能够在浏览器上面查看网页之前,报文经过了你的传输层,SSL/TLS已经对报文进行了解密处理(快递已经开包)。

之后所以不管是在浏览器上呈现,还是你按F12查看源码,都是http协议的事情(快递里面的东西都已经到你手上了,对你而言不会再有啥秘密)。

四、多说几句

现在转行而来的软件工程师和产品设计师的比重在行业内非常高。

对于这一现象我既有正面的看法,不可避免也有负面看法,在这里暂且不提。

但是对于一些只经过了基础编程训练,而缺乏计算机基础知识(各种算法、原理等等)的软件工程师,我经常会劝他们多补补课。

这些基础知识可能在你工作的99%时间里一点作用也起不到,但是它们可以在潜移默化之间提升你能力的天花板,让你解决问题的思路更为广阔。

鲱鱼罐头配白花蛇草水
关注
专栏目录
HTTP和HTTPS的区别
weixin_43612352的博客
03-13 190
HTTPS是以计算机网络通信安全为通信的协议。 非对称加密 公钥和私钥,性能较低,安全性超强 哈希算法 MD5加密 数字签名 在信息的后面加上一段内容(哈希值) HTTPS 是证书配合各种加密手段的方式 HTTPS在数据传输之前会进行一次握手与web服务器,握手时确定双方的加密信息 用户一般不会输入协议(http/https),当输入www.baidu.com,会通过301...
什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码?
IT修真院:初学者转行到互联网的聚集地
05-16 4156
这里是修真院后端小课堂,本篇分析的主题是 【什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码?】 每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析后端知识/技能,本篇分享的是: 【什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码?】 大家好,我是IT修真院深圳分院第10期的JA...
https抓包为什么能看到明文
chanao9465的博客
08-21 4142
https抓包原理 很多工具可以抓包,我用的是Charles for Mac 可以抓包。 抓手机https包的过程mac要安装证书并设成新人,先把手机局域网设成和MAC一样的,设置代理IP和443端口,然后手机下载证书并安装,同时设置信任。之后Charles就能抓到手机上的网络请求了。 抓包工具伪造了自签名证书之后可以成功抓包,并且抓到的是明文。 加密层位于http层(应用层)和tcp层(传输层)...
为什么站点使用https加密之后还能看到相关数据
weixin_30429201的博客
06-02 659
为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,并且还是明文的?例如说这样: 这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。 加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过...
HTTPS解密
最新发布
gwtak的博客
08-23 320
如果服务器和客户端之间使用了Diffie-Hellman加密算法(如ECDHE),则即使您拥有服务器证书的私钥,也可能无法解密流量。这是因为Diffie-Hellman算法在客户端和服务器之间动态生成加密密钥,该密钥不会在网络上传输,因此无法通过Wireshark捕获并解密。总的来说,拥有服务器证书的私钥是解密HTTPS流量的关键。通过正确配置Wireshark并使用私钥,您可以查看和分析HTTPS流量中的明文数据。在Wireshark的捕获窗口中,您应该能够看到解密后的HTTPS流量。
彻底搞懂HTTPS的加密机制
weixin_33963594的博客
09-05 1793
HTTPSSSL/TLS)的加密机制虽然是个前端后端ios安卓等都应了解的基本问题,但网上的很多HTTPS相关文章也总会忽略一些内容,我学习它的时候也废了挺大功夫。对称加密、非对称加密、数字签名、数字证书等等,在学习过程中,除了了解“它是什么”,你是否有想过“为什么是它”?我认为理解了后者才真正理解了HTTPS的加密机制。本文以问题的形式逐步展开,一步步解开HTTPS的面纱,希望能帮助你彻底搞懂...
为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比
热门推荐
认知 行动 坚持
09-23 3万+
在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?         一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https明文密码。         下面, 我们以知乎的登录过程来看看,输入密
密码加密传输
xixingzhe2的博客
08-13 7618
RSA加密
HTTPS工作原理及报文讲解
echo
07-27 1万+
1 HTTPS 1.1 HTTPS简介 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。 SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务..
http和https的区别?.md
03-27
1. 安全性:HTTP协议是明文传输协议,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如银行卡号、密码等。...
wirsheark解密ssl报文明文
08-24
要解密SSL报文明文,首先需要获取目标服务器的私钥。这可以通过多种方式实现,例如,凭借管理员权限从服务器上获取私钥,或者通过社会工程学手段获取私钥的副本。 一旦获得了服务器的私钥,我们就可以使用...
关于客户端通过证书获取https接口数据
sijidechenmo的博客
06-07 4164
刚到新公司报道第一天,上级发给我一个链接,通过curl命令方式获取的数据格式应该是怎样的,然后吩咐我把这个接口通过java 把代码写出来。 其实做技术的都知道,curl说白了就是封装的httpClient模式,所以拿到手之后,满满信心,太简单了吧,结果研究了一天都没有什么结果,其实忽略了https需要证书才可以获取到接口数据,之前也没弄过这块,结果掉大了。 第二天继续研究,不得不说度娘是个好东
查看页面密码框明文密码
hu27
08-16 5868
如何查看密码框明文密码 点击鼠标右键,点击检查,或者按F12 定位密码输入框 修改type 5, 成功显示 此方法几乎适用于所有浏览器,所有网站
接口测试——深入理解HTTPS
测试界的彭于晏的博客
09-09 1068
前言 随着网络安全问题越来越被重视,HTTPS协议的使用已经逐渐主流化。目前的主流站点均已使用了HTTPS协议;比如:百度、淘宝、京东等一二线主站都已经迁移到HTTPS服务之上。而作为测试人员来讲,也要需时俱进对HTTPS协议要有一定的了解,这样就可以更好的帮助我们在工作完成任务和排查问题。 HTTP与TCP 首先,在理解HTTPS之前需要了解HTTP。HTTP(Hyper Text Transfer Protocol)是超文本传输协议,是在互联网上广泛使用的一种信息传输方式,通常浏览器与服务器进行通信使用
秒懂HTTPS接口(原理篇)
Mo小泽的技术博客
12-03 9508
文章目录前言HTTPS简介HTTPS实现原理大致原理技术细节小故事 前言 讲HTTPS之前,我们先来回顾一下HTTP协议。HTTP是一种超文本传输协议,它是无状态的、简单快速的、基于 TCP 的可靠传输协议。 既然 HTTP 协议这么好,那为什么又冒出来了一个 HTTPS 呢?HTTP本身不具备加密的功能,所以也就无法做到对通信整体内容进行加密, 也就是说HTTP是明文传输的,这就造成了很大的安全...
字节一面:HTTPS 会加密 URL 吗?
Park33的博客
08-15 4228
有朋友在面试字节,被问到这个问题:HTTPS 会加密 URL 吗?​答案是,会加密的。因为 URL 的信息都是保存在 HTTP Header 中的,而 HTTPS 是会对 HTTP Header + HTTP Body 整个加密的,所以 URL 自然是会被加密的。下图是 HTTP/1.1 的请求头部,可以看到是包含 URL 信息的。​对应的实际的 HTTP/1.1 的请求头部:​HTTP/1.1 请求的第一行包含请求方法和路径。...
为什么用抓包工具看HTTPS包是明文
加油,努力,认真
07-07 2641
测试或者开发调试的过程中,经常会进行抓包分析,并且装上抓包工具的证书就能抓取 HTTPS 的数据包并显示。由此就产生了一个疑问,为什么抓包工具装上证书后就能抓到 HTTPS 的包并显示呢?不是说 HTTPS 是加密传输的吗?今天这篇文章就来探究下上面这个问题,要解释清楚这个问题,我会通过解答以下两个问题来讲述:HTTP 作为一种被广泛使用的传输协议,也存在一些的缺点:为了解决 “明文” 和 “不安全” 两个问题,就产生了 HTTPSHTTPS 不是一种单独的协议,它是由 HTTP + SSL/TLS 组成
面试管:用了HTTPS就安全了吗?HTTPS 会被抓包吗?
架构文摘
05-23 1616
点击蓝色“架构文摘”关注我哟加个“星标”,每天上午 09:25,干货推送!来源:https://www.cnblogs.com/leap/p/11953836.htmlHTTPS随着 H...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值