国内大多数网站的密码在 post 传输过程中都是明文的,这正常吗
2个回答
2014-12-20 · 知道合伙人数码行家
huanglenzhi
知道合伙人数码行家
采纳数:117538
获赞数:517203
长期从事计算机组装,维护,网络组建及管理。对计算机硬件、操作系统安装、典型网络设备具有详细认知。
向TA提问 私信TA
关注
![]()
展开全部
信息安全的保护确实分成两个部分,端的安全(可以具体到客户端和服务器端)和链路的安全,也就是传输过程中的安全。
一般我们可以认为,端都是可信的。对于服务器端,你愿意使用这个公司提供的服务,一个隐含的条件就是相信这个提供服务的公司,所以服务器端可以认为是比较安全的。
而客户端,你愿意使用这台电脑,也表明你认为这台电脑是比较安全的。只有对于一些安全级别更高的业务,比如在线交易,才需要额外的再对客户端的安全性做一次校验。但是,要真正的保证客户端安全是很难的,需要使用像可信计算这样的技术。常见的能够很大程度保护客户端安全的设备,比如iOS设备、PSP之类的游戏机,也是能够遭到破解,所以这个问题至今没有比较完善的解决方案。
通常我们认为,自己肯定不会给自己的电脑装上木马,网吧的老板一般不会跟黑客一伙,也不会在网吧的电脑上装木马。所以保护的焦点,应该集中在通信的链路上,而不是端上,而且,在链路上进行窃听,比在大部分时候在端上进行攻击都来得有效和难以发现。
一个很简单的例子,如果我用笔记本在一个外租房比较密集的小区,建立一个无密码的WiFi热点,保证很多试图蹭网的人连接上来,然后如果我用WireShark(或者用WinPcap写一个过滤程序),监听WiFi收到转发的数据包,那一定能截获大批的用户名和口令,至少,如果他上知乎,用户名和口令我一定能得到。这个例子也说明了,各位千万不要贪图小便宜而去蹭别人的WiFi,这是一个对自己来说很危险的行为。
实施网络窃听是如此的容易,甚至不需要额外安装什么黑客软件就可以进行。对于很多场合,我们对于传输的内容被窃取并不关心,我不怕别人知道我看了什么新闻,也不怕别人知道我在知乎回答了什么问题,但是用户名和口令这样的身份鉴别信息是绝对不可以被窃取的,因为可能会引起一系列其他的安全问题,CSDN泄漏以后大家都在改密码就能说明问题。对于关键身份鉴别信息在传输时进行加密是一种非常有必要,而且也是非常重要的事情。
至于安全成本问题,我觉得,一个开发人员的薪水一年是十万以上,一年三五千的SSL证书,对于一个网站来说,根本就是九牛一毛。
一般我们可以认为,端都是可信的。对于服务器端,你愿意使用这个公司提供的服务,一个隐含的条件就是相信这个提供服务的公司,所以服务器端可以认为是比较安全的。
而客户端,你愿意使用这台电脑,也表明你认为这台电脑是比较安全的。只有对于一些安全级别更高的业务,比如在线交易,才需要额外的再对客户端的安全性做一次校验。但是,要真正的保证客户端安全是很难的,需要使用像可信计算这样的技术。常见的能够很大程度保护客户端安全的设备,比如iOS设备、PSP之类的游戏机,也是能够遭到破解,所以这个问题至今没有比较完善的解决方案。
通常我们认为,自己肯定不会给自己的电脑装上木马,网吧的老板一般不会跟黑客一伙,也不会在网吧的电脑上装木马。所以保护的焦点,应该集中在通信的链路上,而不是端上,而且,在链路上进行窃听,比在大部分时候在端上进行攻击都来得有效和难以发现。
一个很简单的例子,如果我用笔记本在一个外租房比较密集的小区,建立一个无密码的WiFi热点,保证很多试图蹭网的人连接上来,然后如果我用WireShark(或者用WinPcap写一个过滤程序),监听WiFi收到转发的数据包,那一定能截获大批的用户名和口令,至少,如果他上知乎,用户名和口令我一定能得到。这个例子也说明了,各位千万不要贪图小便宜而去蹭别人的WiFi,这是一个对自己来说很危险的行为。
实施网络窃听是如此的容易,甚至不需要额外安装什么黑客软件就可以进行。对于很多场合,我们对于传输的内容被窃取并不关心,我不怕别人知道我看了什么新闻,也不怕别人知道我在知乎回答了什么问题,但是用户名和口令这样的身份鉴别信息是绝对不可以被窃取的,因为可能会引起一系列其他的安全问题,CSDN泄漏以后大家都在改密码就能说明问题。对于关键身份鉴别信息在传输时进行加密是一种非常有必要,而且也是非常重要的事情。
至于安全成本问题,我觉得,一个开发人员的薪水一年是十万以上,一年三五千的SSL证书,对于一个网站来说,根本就是九牛一毛。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
补
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
