V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 5432 days ago, the information mentioned may be changed or developed.
监听本机的所有 HTTP 通讯,当发现 request header 里有 Authorization 的时候,保存下来,和 Host 头一起,加密发送到某台主机。
有可能可以防御么?
有可能可以防御么?
 |
1
darasion Mar 2, 2011
这个不用监视本机吧?
好像直接在别处就能看到的。比如路由器上。别人的机器上。 |
 |
2
Livid MOD OP PRO 或许在某个大路由器上已经有这样的玩意了。
算了,这样的事情还是不要多想为妙。 我还没有做好准备吞下红色药丸。 |
 |
3
GordianZ Mar 3, 2011
That's why you need HTTPS on login page.
|
|
4
Livid MOD OP PRO 所以,理论上来说,所有的 Web 2.0 服务都应该在登录接口提供 HTTPS。
|
 |
5
Los Mar 3, 2011
其实早就有了
|
 |
6
Sunyanzi Mar 3, 2011
如果想上网 ... 所有上下行数据就要过好多层关卡 ...
要么你选择信任它们 ... 要么就不要上网 ... 所以基本上如果有人想要分析 http 头然后记录的话 ... 作为用户是完全没办法的 ... 对抗措施的话 ... 两种 ... 第一种是 HTTPS 或者 JavaScript 加密 ... 第二种是直接用最普通的 POST ... 没有任何特征表示这是用户名和密码 ... 我不相信谁可以监控所有流过的 POST 数据 ... 把敌人淹没在人民战争的海洋中就好了 ... |
 |
8
dreampuf Mar 4, 2011
你是在说墙么?
|
 |
9
fehu2005 Mar 4, 2011
网上没安全可言啊
|
 |
10
raptium Mar 4, 2011
对 仅仅是 login 的时候 https
还是不能对付 cookie theft |
Select Language