Fiddler Webform セッションで自分のパスワードを確認できる場合、それはプレーン テキストを送信していることを意味しますか?? または、Web サイトがパスワードを平文で送信しているかどうかを知るにはどうすればよいですか?
質問する
5510 次
1 に答える
5
プロトコルが HTTP である場合は、プレーン テキストとして送信されています。ただし、プレーン テキストとして表示できない場合でも、安全に暗号化されているわけではなく、HTTP 基本認証の場合のように簡単に回復できる可能性があります(HTTPS と組み合わせて使用されない限り、以下を参照してください)。
基本認証は次のようになります
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
これはプレーン テキストではなく、base 64 でエンコードされているだけです。つまり、プレーン テキストに簡単にデコードできます。
ただし、プロトコルが HTTPS の場合、プレーン テキストとして表示されるものは、マシンとサーバー間のすべてのスニファーに対して完全に暗号化されます。これには、完全な http 要求と応答 (Url、Http ヘッダー、および HTTP 本文) が含まれます。「盗聴」できるのは、使用されている IP アドレスとポート、および通常はドメイン名だけです。これは、ブラウザーが DNS への (暗号化されていない) 呼び出しを実行して IP アドレスを取得したためです。
これには、HTTPS を復号化するように Fiddler を構成する必要があります。これには、「友好的な」中間者攻撃に相当することを実行できるように、Fiddler の証明書を「OK」する必要があります。
于 2012-11-28T03:52:47.760 に答える