一個字——懶醉冤!
看了驗證用戶密碼這件事,然后無聊就抓了簡書的數(shù)據(jù)包篙悯,然后發(fā)現(xiàn)居然是明文的蚁阳?
然后覺得,一般電腦應(yīng)該還好鸽照,不會隨便鏈接別人的WiFi螺捐,但是手機就不一樣了,在外面無論是公共的還是各種餐廳的WIFI,手機肯定經(jīng)扯ㄑ回去連接赔癌,于是我就想試試手機客戶端是否也是明文傳輸?shù)摹?/p>
Wireshark功能比較強大,可以選擇網(wǎng)絡(luò)澜沟,于是打開WiFi灾票,讓手機連上,Wireshark中設(shè)置捕獲WIFi的網(wǎng)絡(luò)的數(shù)據(jù)包倔喂,于是就開始抓手機端的數(shù)據(jù)包铝条,但是Wireshark有個缺點是信息顯示太不明顯,小白我實在是找的辛苦席噩。于是換了Fiddle班缰,不用選擇網(wǎng)絡(luò)只需要在連接設(shè)置中勾選遠程可連接,端口為8888悼枢,然后在手機端連接上的
WIFI中設(shè)置代理為對應(yīng)的IP和PORT埠忘,然后就開始了手機端的抓包之旅。
Android客戶端
簡書
探探
格瓦拉
豆瓣
前面的幾個用戶群體不是特別大馒索,但是豆瓣這么多年了莹妒,也是明文讓我表示百思不得其解,不過抓豆瓣FM的時候發(fā)現(xiàn)不是明文绰上,于是我就困了=_=
由于開了代理旨怠,部分APP知乎,有道蜈块,網(wǎng)易云音樂鉴腻,花瓣,為知等直接無法登錄百揭,這可能也是一種避免被抓包的措施吧爽哎。還有一些是通過第三方登錄的方式,這確實是一個避免安全問題的好辦法器一,把安全問題都交給大公司去處理课锌。至于BAT的應(yīng)用,沒去測祈秕,經(jīng)常被人盯著的渺贤,所以安全性都會做的比較好。
Web端
為知web
花瓣web
不抓不知道踢步,一抓嚇一跳癣亚。搜了搜,發(fā)現(xiàn)知乎上一篇文章國內(nèi)大多數(shù)網(wǎng)站的密碼在 post 傳輸過程中都是明文的获印,這正常嗎述雾?
要么認為小眾網(wǎng)站沒必要純屬扯淡街州,有人會每個網(wǎng)站設(shè)置一個密碼?貌似還真有玻孟,之前遇到一個妹子唆缴,每注冊一個網(wǎng)站一個密碼,密碼多得自己都記不過來黍翎,每次要用的時候都不記得密碼面徽。但這只是極少的一部分,大部分人會設(shè)置相同的密碼匣掸,你的所謂小眾給別人帶來了安全隱患趟紊。
要么只保證服務(wù)器端的安全,在到達服務(wù)器之前用戶自己負責這是什么SX邏輯就不懂了碰酝,網(wǎng)站登錄端不是你做的霎匈?純屬推卸責任
懶這才是真的原因
但愿國內(nèi)早日改善這種情況吧!
周末開個WiFi送爸,免密碼铛嘱,抓上幾天的包,然后分析袭厂,或許你會發(fā)現(xiàn)更多……
最后推薦兩篇好文章:
http://zhuoqiang.me/password-storage-and-python-example.html
http://www.reibang.com/p/0d2f68b84be0
醒來就在玩這個墨吓,玩了一天。最后發(fā)現(xiàn)啪啪啪的打了自己的臉纹磺,我們也該改了……
