这是一个创建于 4997 天前的主题,其中的信息可能已经有所发展或是发生改变。
监听本机的所有 HTTP 通讯,当发现 request header 里有 Authorization 的时候,保存下来,和 Host 头一起,加密发送到某台主机。
有可能可以防御么?
有可能可以防御么?
 |
1
darasion 2011-03-02 23:40:05 +08:00
这个不用监视本机吧?
好像直接在别处就能看到的。比如路由器上。别人的机器上。 |
 |
2
Livid MOD OP 或许在某个大路由器上已经有这样的玩意了。
算了,这样的事情还是不要多想为妙。 我还没有做好准备吞下红色药丸。 |
 |
3
GordianZ MOD That's why you need HTTPS on login page.
|
|
4
Livid MOD OP 所以,理论上来说,所有的 Web 2.0 服务都应该在登录接口提供 HTTPS。
|
 |
5
Los 2011-03-03 01:44:33 +08:00
其实早就有了
|
 |
6
Sunyanzi 2011-03-03 02:21:39 +08:00
如果想上网 ... 所有上下行数据就要过好多层关卡 ...
要么你选择信任它们 ... 要么就不要上网 ... 所以基本上如果有人想要分析 http 头然后记录的话 ... 作为用户是完全没办法的 ... 对抗措施的话 ... 两种 ... 第一种是 HTTPS 或者 JavaScript 加密 ... 第二种是直接用最普通的 POST ... 没有任何特征表示这是用户名和密码 ... 我不相信谁可以监控所有流过的 POST 数据 ... 把敌人淹没在人民战争的海洋中就好了 ... |
 |
8
dreampuf 2011-03-04 11:41:46 +08:00
你是在说墙么?
|
 |
9
fehu2005 2011-03-04 12:54:18 +08:00
网上没安全可言啊
|
 |
10
raptium 2011-03-04 14:03:23 +08:00
对 仅仅是 login 的时候 https
还是不能对付 cookie theft |
Select Language