7

これは、いくつかのサイトにログインするときに、私のブラウザーが送信したものです。

POST http://www.some.site/login.php HTTP/1.0
ユーザーエージェント: Opera/8.26 (X2000; Linux i686; Z; en)
ホスト: www.some.site
受け入れる: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate、gzip、x-gzip、identity、*;q=0
リファラー: http://www.some.site/
プロキシ接続: 閉じる
コンテンツの長さ: 123
コンテンツ タイプ: application/x-www-form-urlencoded

lot_of_stuff=こちら&e2ad811= my_login_name &e327696= my_password &lots_of_stuff=こちら

誰でもそのサイトのログイン名とパスワードを盗聴できると述べることはできますか? たぶん私のLAN上だけですか?
もしそうなら (たとえ LAN 上でも)、私はショックを受けました。使って思った

<input type="パスワード">

すべての文字が ' * ' のように見える以上のことをしました

ps 問題があれば、(Linux 上で) netcat で遊んで、接続
ブラウザを作成しました <=> netcat (loged here) <=> proxy <=> remote_site

4

5 に答える 5

17

http 接続を介して送信されたすべてのデータは、サーバーへの経路上で誰かに見られる可能性があります (中間者攻撃)。

type="password" は画面上の文字を非表示にするだけで、コンピューター上の他のプログラムでさえデータを読み取ることができます.

データを保護する唯一の方法は、SSL (HTTP ではなく HTTPS) を介して送信することです。

于 2008-09-28T16:00:50.450 に答える
4

type="password" は、文字を画面上で非表示にするだけです。スニッフィングを停止したい場合は、接続を暗号化する必要があります (つまり、HTTPS)。

于 2008-09-28T16:00:11.917 に答える
2

HTTPS 経由で HTTP 接続を暗号化するか、JavaScript に実装された MD5 やその他のハッシュ アルゴリズムを使用して、クライアント側でパスワードを送信する前にクライアント側でハッシュすることで、スニファーがパスワードを読み取れるのを防ぐことができます。

于 2008-09-28T16:19:26.270 に答える
0

はい、資格情報はクリアテキストで渡されます。ネットワーク トラフィックを聞くことができる人は誰でも盗聴できます。

于 2008-09-28T15:59:48.050 に答える
0

暗号化されていないチャネルで転送された場合、POST 本文の内容は「平文」で表示されます。HTTP 本文が傍受されないように保護したい場合は、HTTPSを介して安全なチャネルを介して行う必要があります。

于 2008-09-28T16:02:18.590 に答える