这是一个创建于 5580 天前的主题,其中的信息可能已经有所发展或是发生改变。
监听本机的所有 HTTP 通讯,当发现 request header 里有 Authorization 的时候,保存下来,和 Host 头一起,加密发送到某台主机。
有可能可以防御么?
 |
1 darasion 2011 年 3 月 2 日这个不用监视本机吧? |
 |
2 Livid 2011 年 3 月 2 日或许在某个大路由器上已经有这样的玩意了。 算了,这样的事情还是不要多想为妙。 我还没有做好准备吞下红色药丸。 |
 |
3 GordianZ 2011 年 3 月 3 日That's why you need HTTPS on login page. |
|
4 Livid 2011 年 3 月 3 日所以,理论上来说,所有的 Web 2.0 服务都应该在登录接口提供 HTTPS。 |
 |
5 Los 2011 年 3 月 3 日其实早就有了 |
 |
6 Sunyanzi 2011 年 3 月 3 日如果想上网 ... 所有上下行数据就要过好多层关卡 ... 要么你选择信任它们 ... 要么就不要上网 ... 所以基本上如果有人想要分析 http 头然后记录的话 ... 作为用户是完全没办法的 ... 对抗措施的话 ... 两种 ... 第一种是 HTTPS 或者 JavaScript 加密 ... 第二种是直接用最普通的 POST ... 没有任何特征表示这是用户名和密码 ... 我不相信谁可以监控所有流过的 POST 数据 ... 把敌人淹没在人民战争的海洋中就好了 ... |
 |
10 raptium 2011 年 3 月 4 日对 仅仅是 login 的时候 https |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。
