为什么我在使用基于 http 的基本身份验证的 wireshark 中看到明文凭据?
Why do I see plaintext credentials in wireshark using basic auth over http?
我正在使用 Wireshark 分析我在网络中设置的本地服务器上的网络流量和基本身份验证。
当使用基本身份验证进行身份验证时,我可以在 Wireshark 中的 http 请求的 "Authorization" header 中看到密码和用户名。我知道通过 http(甚至可能通过 https)使用基本身份验证是不安全的,但由于凭据采用 base64 编码,我没想到会以明文形式看到它们。
wireshark 会自动解码凭据上的 base64 编码,还是我对编码过程的工作方式有误?
您的假设是正确的,Wireshark 已经为您解码了授权 header。您应该会同时看到 base64 字符串和解码结果。
Wireshark 不仅仅显示原始数据包,它还会剖析它们。这就是使该工具如此方便和强大(或者从某个角度来看令人恐惧)的原因。
我正在使用 Wireshark 分析我在网络中设置的本地服务器上的网络流量和基本身份验证。
当使用基本身份验证进行身份验证时,我可以在 Wireshark 中的 http 请求的 "Authorization" header 中看到密码和用户名。我知道通过 http(甚至可能通过 https)使用基本身份验证是不安全的,但由于凭据采用 base64 编码,我没想到会以明文形式看到它们。
wireshark 会自动解码凭据上的 base64 编码,还是我对编码过程的工作方式有误?
您的假设是正确的,Wireshark 已经为您解码了授权 header。您应该会同时看到 base64 字符串和解码结果。
Wireshark 不仅仅显示原始数据包,它还会剖析它们。这就是使该工具如此方便和强大(或者从某个角度来看令人恐惧)的原因。