明文post密码

w

作者：余天升
链接：https://www.zhihu.com/question/20306241/answer/14696464

看到上面几位的回答，我真心觉得，当前信息安全保护的意识过于低下，连一些基本的保护措施都能够被认为是「没有必要」。同意@任冬 的观点，都在偷懒，不重视安全，没有什么理由好开脱的。

如同@lumin 所说，信息安全的保护确实分成两个部分，端的安全（可以具体到客户端和服务器端）和链路的安全，也就是传输过程中的安全。
一般我们可以认为，端都是可信的。对于服务器端，你愿意使用这个公司提供的服务，一个隐含的条件就是相信这个提供服务的公司，所以服务器端可以认为是比较安全的。
而客户端，你愿意使用这台电脑，也表明你认为这台电脑是比较安全的。只有对于一些安全级别更高的业务，比如在线交易，才需要额外的再对客户端的安全性做一次校验。但是，要真正的保证客户端安全是很难的，需要使用像可信计算这样的技术。常见的能够很大程度保护客户端安全的设备，比如iOS设备、PSP之类的游戏机，也是能够遭到破解，所以这个问题至今没有比较完善的解决方案。
通常我们认为，自己肯定不会给自己的电脑装上木马，网吧的老板一般不会跟黑客一伙，也不会在网吧的电脑上装木马。所以保护的焦点，应该集中在通信的链路上，而不是端上，而且，在链路上进行窃听，比在大部分时候在端上进行攻击都来得有效和难以发现。

一个很简单的例子，如果我用笔记本在一个外租房比较密集的小区，建立一个无密码的WiFi热点，保证很多试图蹭网的人连接上来，然后如果我用WireShark（或者用WinPcap写一个过滤程序），监听WiFi收到转发的数据包，那一定能截获大批的用户名和口令，至少，如果他上知乎，用户名和口令我一定能得到。这个例子也说明了，各位千万不要贪图小便宜而去蹭别人的WiFi，这是一个对自己来说很危险的行为。

实施网络窃听是如此的容易，甚至不需要额外安装什么黑客软件就可以进行。对于很多场合，我们对于传输的内容被窃取并不关心，我不怕别人知道我看了什么新闻，也不怕别人知道我在知乎回答了什么问题，但是用户名和口令这样的身份鉴别信息是绝对不可以被窃取的，因为可能会引起一系列其他的安全问题，CSDN泄漏以后大家都在改密码就能说明问题。对于关键身份鉴别信息在传输时进行加密是一种非常有必要，而且也是非常重要的事情。

至于安全成本问题，我觉得，一个开发人员的薪水一年是十万以上，一年三五千的SSL证书，对于一个网站来说，根本就是九牛一毛。

编辑于 2012-06-21

 

 

 

 

没有 HTTPS 的网站都是对用户安全不负责任的。HTTPS 当然有成本，证书只是一方面，服务器负责是另一方面。当然百度不愿意实现 HTTPS 登录，理由是服务器成本，因为 HTTPS 加解密开销是普通 HTTP 的几倍。不过你看 Gmail 和 Facebook 都默认全站 HTTPS 了，你说你只有登录做 HTTPS 也做不到，这就是基本的安全保障都不提供啦？

发布于 2014-08-04

作者：知乎用户
链接：https://www.zhihu.com/question/20306241/answer/28762147

 

 

看到答案里有人提到用 MD5 代替明文，这样做其实是没有意义的，第一可以重放，第二可以用彩虹表。

老老实实上 SSL 吧。

编辑于 2015-03-31

 

 

TPL_username:
TPL_password:
ncoSig:
ncoSessionid:
ncoToken:e701c7d8891d1dddee59711ac49cd3e10fd778b1
slideCodeShow:false
useMobile:false
lang:zh_CN
loginsite:
newlogin:
TPL_redirect_url:
from:tb
fc:default
style:default
css_style:
keyLogin:false
qrLogin:true
newMini:false
newMini2:false
tid:
loginType:
minititle:
minipara:
pstrong:
sign:
need_sign:
isIgnore:
full_redirect:
sub_jump:
popid:
callback:
guf:
not_duplite_str:
need_user_id:
poy:
gvfdcname:
gvfdcre:
from_encoding:
sub:
TPL_password_2:02d5437c5b6cb42b7dfaf65038090a0145b26e353236f6195d94411a50caea4b5abd83222d92b8ffb2a9dbf72a950e9e45206c5fb7e32263703512bae5098e5b729d33dc9e41d211eec10a78888316966706e38244426f737b9e6eafb6841cfe8425a1681cfd0b999259090434b53678370930c05a7a74d33ff6338c2367e131
loginASR:
loginASRSuc:
allp:
oslanguage:en-US
sr:*
osVer:windows|6.1
naviVer:chrome|57.0298711
osACN:Mozilla
osAV:5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.110 Safari/537.36
osPF:Win32
miserHardInfo:
appkey:
nickLoginLink:
mobileLoginLink:https://login.taobao.com/member/login.jhtml?useMobile=true
showAssistantLink:
um_token:HV01PAAZ0be3fb97741e069a58fd7d7601357be1
ua:#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

前端 - http下是否有加密登陆密码的必要 - SegmentFault
https://segmentfault.com/q/1010000000926027

不加密的话如果HTTP请求被拦截的话就可以知道用户的原始密码了，这是一件要不得的事情。于你网站本身来说，这个问题应该不大，因为如果被拦截了，不管怎样拦截者只要查看源码，模拟请求之后都能登陆上。但是因为很多用户目前来说基本上来说不会一个网站一个密码，而是对应着多个账户的。所以如果知道了用户的原始密码，结合社会工程学，能干的事情就挺多了。