為什么80%的碼農(nóng)都做不了架構(gòu)師？>>> ??

為什么站點使用了https加密之后，還是能夠用firebug之類的軟件查看到提交到的信息，并且還是明文的？例如說這樣：

這是因為:https（ssl）加密是發(fā)生在應(yīng)用層與傳輸層之間，所以在傳輸層看到的數(shù)據(jù)才是經(jīng)過加密的，而我們捕捉到的http post，是應(yīng)用層的數(shù)據(jù)，此時還沒有經(jīng)過加密。這些明文信息，其實就是你的本地數(shù)據(jù)。

加密數(shù)據(jù)只有客戶端和服務(wù)器端才能得到明文，客戶端到服務(wù)端的通信過程是安全的。

可能有些讀者會對此表示擔(dān)憂了：這樣的話密碼不是會被本地惡意軟件截獲么？只能說的確存在這樣的可能。不過在銀行電商等安全防護程度較高的網(wǎng)站，除了https加密外，還有安全控件加密，用戶必須下載安全控件后才能輸入密碼，以支付寶為例：通過下圖可以發(fā)現(xiàn)就算在本地也無法查看賬號信息。

?

針對這個問題，沃通建議：行政、金融、電商等需要高安全防護的站點在實行https加密外，還應(yīng)該部署沃通客戶端證書，以強身份認(rèn)證的方式替代不安全的賬號密碼認(rèn)證，確保登錄用戶身份正確的同時還能防止站點弱口令漏洞潛入，最大程度保護用戶信息安全。

轉(zhuǎn)載于:https://my.oschina.net/cccyb/blog/755062

總結(jié)

以上是生活随笔為你收集整理的为什么站点实现了https加密之后还是能看到相关数据的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。