一般来讲,我们是信任 HTTPS 的安全性的。
你抓包看到了,是因为你信任了自己的根证书。
如果是普通用户,一般是中了中间人攻击。
你的客户端和服务器建立的是一个受信任的链接,在建立 TCP 链接后,客户端和服务端就会初始化 SSL 层,对加密参数进行沟通,并交换密钥。之后双方可以进行通行了。所以 https 的请求,双方的客户端和服务端是知道密钥的,所以可以对内容进行加解密,但是传输过程中,第三方不知道密钥,所以截取到了也解密不了。
但是但是但是,如果你曾经用 fiddler 或者 charles 调试,替换过线上代码,那你就会了解到一个叫中间人攻击的东西,这个技术可以伪装成客户端和服务器进行通信,以盗取通信的内容(具体不展开了,搜索下,图文并茂的文章很多的)。比如你用了一个不安全的 Wi-Fi 什么的,就会有这个风险。所以,密码之类的,尤其设计到钱的,还是另外加密下吧。
改天看看把密码加密下
走 https 是行业默认的安全策略,已经可以防住你的密码不外泄了。 charles 和 fiddler 能拦截是依赖你本地要信任特定的证书,所以在你不信任非法证书之前,公网上传输数据是安全的。不过理论上要走向更高级别安全,在客户端也应该适当的单向加盐下。
这个问题已经修复了吗?我是用 github 登陆,只要我打开 FD ,就登陆不上呢
这个问题已经修复了吗?我是用 github 登陆,只要我打开 FD ,就登陆不上呢,不对,应该是我打开了 FD,不能上 github!
恒温
回复
是的,环境问题。
想请教大佬一个问题,如果通过 github 账号快捷登录,FD 抓包 https://testerhome.com/account/auth/github 可以获取到 github 账号密码吗?
我抓这个接口没有分析出来
