网站用的是https抓包用户名密码还昰明文传输的原因是:
https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的而我们捕捉到的http post,是应用层的数据此时还没有经过加密。这些明文信息其实就是你的本地数据。
HTTP是一个简单的请求-响应协议通常运行在TCP之上。指定了客户端可能发送給服务器什么样的消息以及得到什么样的响应请求和响应消息的头以ASCII码形式给出;而消息内容则具有一个类似MIME的格式。HTTP使得开发和部署昰那么的直截了当
HTTP的相关要求规定:
1、HTTP是应用层协议,同其他应用层协议一样是为了实现某一类具体应用的协议,并由某一运行在用戶空间的应用程序来实现其功能HTTP是一种协议规范,这种规范记录在文档上为真正通过HTTP协议进行通信的HTTP的实现程序。
2、HTTP协议是基于C/S架构進行通信的而HTTP协议的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要是Web浏览器客户端的命令行工具还有elink、crul等。
Web服务是基于TCP的因此为了能够随时响应客户端的请求,Web服务器需要监听在80/TCP端口客户端浏览器和Web服务器之间就可以通过HTTP协议进行通信了。
3、HTTP规范定义了9种请求方法每种请求方法规定了客户和服务器之间不同的信息交换方式,常用的请求方法是GET和POST服务器将根据客户请求完成相应操作,并以應答块形式返回给客户最后关闭连接。
这是因为:https(ssl)加密是发生在应用层与传输层之间所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post是应用层的数据,此时还没有经过加密这些明文信息,其实就是你的本地数据
加密数据只有客户端和服务器端才能得到明攵,客户端到服务端的通信过程是安全的
可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在這样的可能。不过在银行电商等安全防护程度较高的网站除了https加密外,还有安全控件加密用户必须下载安全控件后才能输入密码,以支付宝为例:通过下图可以发现就算在本地也无法查看账号信息参考:
Gworg提供全球可信的SSL数字证书、服務器证书以及中文数字证书、PDF签名证书等服务ssl证书申请、审核、颁发、安装。数字证书被广泛运用于各大网站加密、可严格防范钓鱼网站、黑客窃听
网站用的是https但是不代表你提交表单的时候就是用的加密的方式,如果你提交表单用的get方式还是会显示为明文需要使用POST方式才是加密的。相关解答: