登录时密码何时加密?
Posted
技术标签:
【中文标题】登录时密码何时加密?【英文标题】:when password will be encrypted while logging in? 【发布时间】:2016-02-20 06:03:16 【问题描述】:在登录网页(例如 gmail)时,这些凭据将被加密??
就我而言: 实际上我已经使用 ZAP 代理来分析通过我的浏览器的流量。 当我登录 gmail 并通过 ZAP 代理分析流量时,我可以看到纯文本格式的密码。
那么加密是什么时候发生的?
【问题讨论】:
【参考方案1】:由于 gmail 使用 SSL,整个请求、密码和所有内容都由浏览器加密。
话虽如此,那么问题来了,我如何在使用 zap 时看到明文? Zaproxy 拦截 SSL 握手并与 Gmail 建立自己的连接。然后它使用不同的证书与您的浏览器进行通信。
这允许您以纯文本形式查看请求/响应,因为代理可以访问它。
【讨论】:
所以根据我对上述答案的理解,ZAP 的行为有点像 MITM(中间人)。 ZAP 与浏览器建立 http 连接,并与 Gmail 服务器建立 https(SSL) 连接。所以Gmail在发送前没有任何脚本来加密密码。它完全依赖 SSL 吗?如果我错了,请纠正我@Chet 好吧,浏览器与 zap 建立了一个安全的 https 会话(它只是没有意识到这一点,因为 zap 使用了它安装的证书)。不涉及http。除此之外,您完全正确。以上是关于登录时密码何时加密?的主要内容,如果未能解决你的问题,请参考以下文章