为什么站点使用https加密之后还能看到相关数据

为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,并且还是明文的?例如说这样:

这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。

加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。

可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在这样的可能。不过在银行电商等安全防护程度较高的网站,除了https加密外,还有安全控件加密,用户必须下载安全控件后才能输入密码,以支付宝为例:通过下图可以发现就算在本地也无法查看账号信息。

针对这个问题,建议:行政、金融、电商等需要高安全防护的站点在实行https加密外,还应该部署客户端证书,以强身份认证的方式替代不安全的账号密码认证,确保登录过程中的安全无忧,同时还能弱口令漏洞,最大程度保护用户信息安全。

此外,针对使用安全控件辅助登录的站点,建议使用代码签名证书,以保证安全控件在下载传输过程中没有被篡改及破坏。从而保证代码的完整性,保护用户不会被病毒、恶意代码和间谍软件所侵害,真正做到全面安全防护。


转载自:http://suo.im/3rwOX9

时间: 2024-11-08 13:05:21

为什么站点使用https加密之后还能看到相关数据的相关文章

HTTPS加密越来越流行,为何要加密?

继谷歌之后,国内最大的搜索引擎百度在2015年5月实现了全站HTTPS加密.搜狗搜索.360搜索.bing搜索.淘宝.天猫.知乎等也都实现了全站HTTPS加密,互联网即将迎来全网HTTPS加密时代. HTTP明文传输协议的弊端 (1)HTTP是明文传输协议,传输过程中需要经过大量灰色中间环节,明文数据流经中间代理服务器.路由器.wifi热点.通信服务运营商等多个物理节点,中间者可以在任意节点随意嗅探用户搜索内容,窃取隐私甚至篡改网页,导致用户的隐私被泄露. (2)HTTP因为是明文传输,使得搜索

美国政府网站将强制实现全站HTTPS加密,值得我国政府借鉴

根据美国白宫6月8日下午发布的官方文件:HTTPS-Everywhere for Government (政府网站必须全站https):规范:https://www.whitehouse.gov/blog/2015/06/08/https-everywhere-government,早在3月份就起草了此要求,并征求公众意见.此举是为了保证政府网站上各种信息的安全和保护用户的隐私,保证政府网站不会假冒.要求所有政府网站在2016年12月31日前完成全站https部署,以后不允许政府网站是使用htt

HTTP要被抛弃? 亚洲诚信携手宝塔开启HTTPS加密快速通道

推动全球网站的HTTPS化意义深远,亚洲诚信与国内知名服务器控制面板厂商"宝塔"(www.bt.cn)达成战略合作,携手推出"SSL证书申请与管理"一站式自动化服务,让宝塔用户在申请SSL数字证书时,一键将HTTPS加密到域名解析中,帮助用户实现网站和应用全站HTTPS加密. 不难发现,最近两年国内外大型门户网站百度.淘宝.亚马逊等都从原来的HTTP网址更换为HTTPS,为网站安装SSL证书已经成为大势所趋.SSL证书的作用不仅在于为信息流加密,更代表了网站的身份认

【文末有彩蛋】HTTPS加密时代,SSL证书该怎么挑选?

近年来,在各大互联网巨头以及相关政策法律的推动下,HTTPS的使用率逐年持续增长,数据表明,截止到2019年2月,在Alexa所列举的排名前100万网站中,超过58%的网站升级到了HTTPS.(见下图) 为什么部署HTTPS变得如此重要? 随着互联网的迅猛发展,相应的网络环境也变得愈加复杂多变.危机四伏-- 在利益的驱动下,一些恶意的运营商经常对用户的HTTP请求做劫持和篡改,假使一个网站现在还在用HTTP为用户提供服务,那一定会经常遇到网站被插入广告.泄露数据等问题. 而让大量信息完全透明地在

HTTPS加密原理与过程

HTTPS加密原理与过程 HTTP 超文本传输协议一种属于应用层的协议 缺点: 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法证明报文的完整性,所以有可能已遭篡改 优点: 传输速度快 HTTPS HTTPS 并非是应用层的一种新协议.只是 HTTP 通信接口部分用 SSL (安全套接字层)和TLS (安全传输层协议)代替而已.即添加了加密及认证机制的 HTTP 称为 HTTPS ( HTTP Secure ). HTTP + 加密 + 认证 + 完整性保护

为什么要使用HTTPS加密

合信ssl证书 1.HTTP页面将标记"不安全" 当用户访问网站时,没人想要浏览器上的红色警告,但是如果你的网站采用HTTP链接来传输数据,那红色警告将成为常态. 以前浏览器对不安全的HTTP页面没有任何标记,而含有部分不安全因素的HTTPS页面却显示安全警告,让人们误以为含有不安全因素HTTPS页面不如HTTP页面安全,这是非常错误的.谷歌和火狐将在标识上做进一步优化,区分HTTP不安全连接和HTTPS安全连接,谷歌Chrome将为所有 HTTP网站打红叉,用户可以在Chrome 4

Apache强制WWW跳转以及强制HTTPS加密跳转的方法

一般我会较多的使用WORDPRESS程序,其在安装的时候我们如果直接用WWW打开,或者在后台设置WWW域名则默认会强制301指向WWW站点域名.而这里有使用ZBLOG或者TYPECHO等其他博客程序则不会默认301跳转.理论上从用户体验,还是从搜索引擎,最好是统一要么WWW,要么不带WWW格式的网址. 所以,我准备在Apache中用301跳转强制WWW格式,这里我是用的Apache虚拟主机环境所以直接在根目录的.htaccess文件设置就可以. 第一.强制WWW跳转 RewriteEngine

HTTPS加密传输数据,加强P2P平台网络安全和信任

12月28日,银监会会同工信部.公安部.网信办等部门研究起草了<网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)>(以下简称<办法>),并向社会公开征求意见.该<办法>对P2P相关的生态服务机构(如:CA机构.公证机构)提出了政策支持,其中有专门篇幅强调了P2P机构加强网络与信息安全及使用电子认证的重要性. <办法>明确指出:"网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有

Apache Httpd 2.2 配置CA证书,实现Https加密通讯

什么是CA证书 关于什么是CA证书,以及如何使用Open-SSL申请和搭建CA证书,我们在之前的文章中已经有过介绍,这里不再赘述.若有疑问,可参考之前的文章.http://www.pojun.tech/blog/2017/09/11/linux-middle-command-1http://xiaoshuaigege.blog.51cto.com/6217242/1965113 http://blog.csdn.net/eumenides_s/article/details/78040787 A