通过 SSL 以明文形式发送登录信息?
Login sent in plaintext over SSL?
我在使用 OWASP ZAP(一种用于本地浏览器流量嗅探的代理)启用和禁用 SSL 的情况下测试我的网站,并注意到我的登录信息是通过 HTTPS 和 HTTP 以明文形式发送的。有什么办法可以避免这种情况吗?
我正在使用 Tomcat 8 和 Eclipse Mars 作为 Java IDE 来编写网站。
(下图,因为我没有足够的代表来正确提交)
https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00%20AM.png
您误解了您所看到的内容 - 或者,也许更准确地说,您没有考虑到您所看到的内容的含义。
根据定义,它是通过 HTTPS 发送的,不是明文形式。
OWASP ZAP 是错误的观察工具,因为它被设计为能够在中间破解 SSL 连接,以进行观察……但是这种中间人方法可以没完没了without your complicity.
一个更合适的工具来查看您的流量确实不是明文形式的是数据包嗅探器,例如 wireshark,其中 HTTP 和 HTTPS 之间的区别将是显而易见的。
我在使用 OWASP ZAP(一种用于本地浏览器流量嗅探的代理)启用和禁用 SSL 的情况下测试我的网站,并注意到我的登录信息是通过 HTTPS 和 HTTP 以明文形式发送的。有什么办法可以避免这种情况吗?
我正在使用 Tomcat 8 和 Eclipse Mars 作为 Java IDE 来编写网站。 (下图,因为我没有足够的代表来正确提交) https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00%20AM.png
您误解了您所看到的内容 - 或者,也许更准确地说,您没有考虑到您所看到的内容的含义。
根据定义,它是通过 HTTPS 发送的,不是明文形式。
OWASP ZAP 是错误的观察工具,因为它被设计为能够在中间破解 SSL 连接,以进行观察……但是这种中间人方法可以没完没了without your complicity.
一个更合适的工具来查看您的流量确实不是明文形式的是数据包嗅探器,例如 wireshark,其中 HTTP 和 HTTPS 之间的区别将是显而易见的。