这是一个创建于 1156 天前的主题,其中的信息可能已经有所发展或是发生改变。
用 fiddler 抓包了 v2 的登录。发现提交了 5 个表单
key value 说明
cc197a53dabd5a18198dc6e01822dc8c81062d96645c2d672dc9facb213b47e6 skyphone001 用户名
ed29a56a15250e45a7f54daa29e6b07d2fbc51757164725ca7c6a4035977dd45 明文密码 密码
e980331cd832118eb1068774e0020c5dd0fe2cba72f89887e307239594c3f936 xkhb 验证码
once 16929
next /
这种登录有什么好处。发现密码也没加密
key value 说明
cc197a53dabd5a18198dc6e01822dc8c81062d96645c2d672dc9facb213b47e6 skyphone001 用户名
ed29a56a15250e45a7f54daa29e6b07d2fbc51757164725ca7c6a4035977dd45 明文密码 密码
e980331cd832118eb1068774e0020c5dd0fe2cba72f89887e307239594c3f936 xkhb 验证码
once 16929
next /
这种登录有什么好处。发现密码也没加密
 |
1
mightofcode 2021-09-03 16:35:07 +08:00
https 保证安全性,前端没必要加密
|
 |
2
skyphone001 OP @mightofcode 问题是我抓包抓到了。支付宝密码是加密了。
|
 |
3
AoEiuV020 2021-09-03 18:27:33 +08:00
我也觉得前端密码简单加密意义不大,因为本质上这个”加密结果“才是真正的密码,抓包照样抓到”密码“,
要更高级别安全性至少要额外设计一套方案,复杂度大增, 比如我们公司支付密码不参与传输,只用来加解密私钥,然后私钥去解密服务器给的临时密码,再用临时密码加密其他参数,这过程临时密码对上了就表示支付密码对上了, |
 |
4
adrianzhang 2021-09-03 18:44:45 +08:00
看用户群吧,像 v2 这种人均会翻的用户,谁会用别人的网络登录 v2 呢,至少经过自己的 vps 不是,这样的路,有必要在开始就加密么?
|
 |
5
v2tudnew 2021-09-20 12:01:05 +08:00
@skyphone001 #2 过了 https 还能抓到?你这是登录的客户端上装了抓包软件吧?
|
|
6
skyphone001 OP @v2tudnew 直接用 fiddler4 抓就可以
|
Select Language