http帳號和密碼傳輸過程中都是明文嗎

1樓:瀟灑哥阿諾

登入**時,輸入登入名、密碼用burp抓一下包就知道是否加密。一般http訪問密碼以明文傳輸,https 或者ssl是加密的

2樓:匿名使用者

會,中間截留資料報就可以檢視你的帳號密碼,所以大型**一般登入都是用的https

**用的是https,為什麼抓包使用者名稱密碼還是明文傳輸

3樓:鄭浪啪

**用的是https,抓包使用者名稱密碼還是明文傳輸的原因是:

https(ssl)加密是發生在應用層與傳輸層之間,所以在傳輸層看到的資料才是經過加密的,而我們捕捉到的http post,是應用層的資料,此時還沒有經過加密。這些明文資訊,其實就是你的本地資料。

http是乙個簡單的請求-響應協議,通常執行在tcp之上。指定了客戶端可能傳送給伺服器什麼樣的訊息以及得到什麼樣的響應。請求和響應訊息的頭以ascii碼形式給出;而訊息內容則具有乙個類似mime的格式。

http使得開發和部署是那麼的直截了當。

4樓:匿名使用者

**用的是https但是不代表你提交表單的時候就是用的加密的方式,如果你提交表單用的get方式還是會顯示為明文,需要使用post方式才是加密的。相關解答:網頁鏈結

**用的是https,為什麼抓包使用者名稱密碼還是明文傳輸?

5樓:匿名使用者

這是因為:https(ssl)加密是發生在應用層與傳輸層之間,所以在傳輸層看到的資料才是經過加密的,而我們捕捉到的http

post,是應用層的資料,此時還沒有經過加密。這些明文資訊,其實就是你的本地資料。

加密資料只有客戶端和伺服器端才能得到明文,客戶端到服務端的通訊過程是安全的。

參考

一般網頁中的使用者名稱和登入密碼在傳輸過程中是通過什麼加密的?

6樓:真的好想知道啊

對於開啟了某個論壇,輸入了使用者名稱和密碼,其實如果**設計者重視安全問題的話一般會對輸入的使用者名稱和密碼進行加密,加密後的使用者名稱和密碼用一連串的字元表示,所以即使別人竊取了你的使用者名稱和密碼和密碼,他們如果不知道怎麼解密,他們只能得到一連串的字元,所以這也是一道防線。

接下來就是網路安全方面的問題:

資料加密(data encryption)技術

所謂加密(encryption)是指將乙個資訊(或稱明文--plaintext) 經過加密鑰匙(encrypt ionkey)及加密函式轉換,變成無意義的密文( ciphertext),而接收方則將此密文經過解密函式、解密鑰匙(decryti on key)還原成明文。加密技術是網路安全技術的基石。

資料加密技術要求只有在指定的使用者或網路下,才能解除密碼而獲得原來的資料,這就需要給資料傳送方和接受方以一些特殊的資訊用於加解密,這就是所謂的金鑰。其金鑰的值是從大量的隨機數中選取的。按加密演算法分為專用金鑰和公開金鑰兩種。

專用金鑰,又稱為對稱金鑰或單金鑰,加密時使用同乙個金鑰,即同乙個演算法。如des和mit的kerberos演算法。單金鑰是最簡單方式,通訊雙方必須交換彼此金鑰,當需給對方發資訊時,用自己的加密金鑰進行加密,而在接收方收到資料後,用對方所給的金鑰進行解密。

這種方式在與多方通訊時因為需要儲存很多金鑰而變得很複雜,而且金鑰本身的安全就是乙個問題。

des是一種資料分組的加密演算法,它將資料分成長度為6 4位的資料塊,其中8位用作奇偶校驗,剩餘的56位作為密碼的長度。第一步將原文進行置換,得到6 4位的雜亂無章的資料組;第二步將其分成均等兩段 ;第三步用加密函式進行變換,並在給定的金鑰引數條件下,進行多次迭代而得到加密密文。

公開金鑰,又稱非對稱金鑰,加密時使用不同的金鑰,即不同的演算法,有一把公用的加密金鑰,有多把解密金鑰,如rsa演算法。

在計算機網路中,加密可分為"通訊加密"(即傳輸過程中的資料加密)和"檔案加密"(即儲存資料加密)。通訊加密又有節點加密、鏈路加密和端--端加密3種。

1節點加密,從時間座標來講,它在資訊被傳入實際通訊連線點 (physical ***munication link)之前進行;從osi 7層參考模型的座標 (邏輯空間)來講,它在第一層、第二層之間進行; 從實施物件來講,是對相鄰兩節點之間傳輸的資料進行加密,不過它僅對報文加密,而不對報頭加密,以便於傳輸路由的選擇。

2鏈路加密(link encryption),它在資料鏈路層進行,是對相鄰節點之間的鏈路上所傳輸的資料進行加密,不僅對資料加密還對報頭加密。

3端--端加密(end-to-end encryption),它在第六層或第七層進行 ,是為使用者之間傳送資料而提供的連續的保護。在始發節點上實施加密,在中介節點以密文形式傳輸,最後到達目的節點時才進行解密,這對防止拷貝網路軟體和軟體洩漏也很有效。

在osi參考模型中,除會話層不能實施加密外,其他各層都可以實施一定的加密措施。但通常是在最高層上加密,即應用層上的每個應用都被密碼編碼進行修改,因此能對每個應用起到保密的作用,從而保護在應用層上的投資。假如在下面某一層上實施加密,如tcp層上,就只能對這層起到保護作用。

值得注意的是,能否切實有效地發揮加密機制的作用,關鍵的問題在於金鑰的管理,包括金鑰的生存、分發、安裝、保管、使用以及作廢全過程。

(1)數字簽名

公開金鑰的加密機制雖提供了良好的保密性,但難以鑑別傳送者, 即任何得到公開金鑰的人都可以生成和傳送報文。數字簽名機制提供了一種鑑別方法,以解決偽造、抵賴、冒充和篡改等問題。

數字簽名一般採用不對稱加密技術(如rsa),通過對整個明文進行某種變換,得到乙個值,作為核實簽名。接收者使用傳送者的公開金鑰對簽名進行解密運算,如其結果為明文,則簽名有效,證明對方的身份是真實的。當然,簽名也可以採用多種方式,例如,將簽名附在明文之後。

數字簽名普遍用於銀行、電子**等。

數字簽名不同於手寫簽字:數字簽名隨文字的變化而變化,手寫簽字反映某個人個性特徵, 是不變的;數字簽名與文字資訊是不可分割的,而手寫簽字是附加在文字之後的,與文字資訊是分離的。

(2)kerberos系統

kerberos系統是美國麻省理工學院為athena工程而設計的,為分布式計算環境提供一種對使用者雙方進行驗證的認證方法。

它的安全機制在於首先對發出請求的使用者進行身份驗證,確認其是否是合法的使用者;如是合法的使用者,再審核該使用者是否有權對他所請求的服務或主機進行訪問。從加密演算法上來講,其驗證是建立在對稱加密的基礎上的。

kerberos系統在分布式計算環境中得到了廣泛的應用(如在notes 中),這是因為它具有如下的特點:

1安全性高,kerberos系統對使用者的口令進行加密後作為使用者的私鑰,從而避免了使用者的口令在網路上顯示傳輸,使得竊聽者難以在網路上取得相應的口令資訊;

2透明性高,使用者在使用過程中,僅在登入時要求輸入口令,與平常的操作完全一樣,ker beros的存在對於合法使用者來說是透明的;

3可擴充套件性好,kerberos為每乙個服務提供認證,確保應用的安全。

kerberos系統和看電影的過程有些相似,不同的是只有事先在ker beros系統中登入的客戶才可以申請服務,並且kerberos要求申請到入場券的客戶就是到tgs(入場券分配伺服器)去要求得到最終服務的客戶。

kerberos的認證協議過程如圖二所示。

kerberos有其優點,同時也有其缺點,主要如下:

1、kerberos伺服器與使用者共享的秘密是使用者的口令字,伺服器在回應時不驗證使用者的真實性,假設只有合法使用者擁有口令字。如攻擊者記錄申請回答報文,就易形成**本攻擊。

2、kerberos伺服器與使用者共享的秘密是使用者的口令字,伺服器在回應時不驗證使用者的真實性,假設只有合法使用者擁有口令字。如攻擊者記錄申請回答報文,就易形成**本攻擊。

3、as和tgs是集中式管理,容易形成瓶頸,系統的效能和安全也嚴重依賴於as和tgs的效能和安全。在as和tgs前應該有訪問控制,以增強as和tgs的安全。

4、隨使用者數增加,金鑰管理較複雜。kerberos擁有每個使用者的口令字的雜湊值,as與tgs 負責戶間通訊金鑰的分配。當n個使用者想同時通訊時,仍需要n*(n-1)/2個金鑰

( 3 )、pgp演算法

pgp(pretty good privacy)是作者hil zimmermann提出的方案, 從80年代中期開始編寫的。公開金鑰和分組金鑰在同乙個系統中,公開金鑰採用rsa加密演算法,實施對金鑰的管理;分組金鑰採用了idea演算法,實施對資訊的加密。

pgp應用程式的第乙個特點是它的速度快,效率高;另乙個顯著特點就是它的可移植性出色,它可以在多種操作平台上執行。pgp主要具有加密檔案、傳送和接收加密的e-mail、數字簽名等。

(4)、pem演算法

保密增強郵件(private enhanced mail,pem),是美國rsa實驗室基於rsa和des演算法而開發的產品,其目的是為了增強個人的隱私功能, 目前在inter***網上得到了廣泛的應用,專為e-mail使用者提供如下兩類安全服務:

對所有報文都提供諸如:驗證、完整性、防抵賴等安全服務功能; 提供可選的安全服務功能,如保密性等。

pem對報文的處理經過如下過程:

第一步,作規範化處理:為了使pem與mta(報文傳輸**)相容,按s mtp協議對報文進行規範化處理;

第二步,mic(message integrity code)計算;

第三步,把處理過的報文轉化為適於**tp系統傳輸的格式。

身份驗證技術

身份識別(identification)是指定使用者向系統出示自己的身份證明過程。身份認證(authertication)是系統查核使用者的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑑別),是判明和確認通訊雙方真實身份的兩個重要環節。

web網上採用的安全技術

在web網上實現網路安全一般有shttp/http和ssl兩種方式。

(一)、shttp/http

shttp/http可以採用多種方式對資訊進行封裝。封裝的內容包括加密、簽名和基於mac 的認證。並且乙個訊息可以被反覆封裝加密。

此外,shttp還定義了包頭資訊來進行金鑰傳輸、認證傳輸和相似的管理功能。shttp可以支援多種加密協議,還為程式設計師提供了靈活的程式設計環境。

shttp並不依賴於特定的金鑰證明系統,它目前支援rsa、帶內和帶外以及kerberos金鑰交換。

(二)、ssl(安全套層) 安全套接層是一種利用公開金鑰技術的工業標準。ssl廣泛應用於intra***和inter*** 網,其產品包括由***scape、microsoft、ibm 、open market等公司提供的支援ssl的客戶機和伺服器,以及諸如apa che-ssl等產品。

ssl提供三種基本的安全服務,它們都使用公開金鑰技術。

1資訊私密,通過使用公開金鑰和對稱金鑰技術以達到資訊私密。ssl客戶機和ssl伺服器之間的所有業務使用在ssl握手過程中建立的金鑰和演算法進行加密。這樣就防止了某些使用者通過使用ip packet sniffer工具非法竊聽。

儘管packet sniffer仍能捕捉到通訊的內容, 但卻無法破譯。 2資訊完整性,確保ssl業務全部達到目的。如果inter***成為可行的電子商業平台,應確保伺服器和客戶機之間的資訊內容免受破壞。

ssl利用機密共享和hash函式組提供資訊完整性服務。3相互認證,是客戶機和伺服器相互識別的過程。它們的識別號用公開金鑰編碼,並在ssl握手時交換各自的識別號。

為了驗證證明持有者是其合法使用者(而不是冒名使用者),ssl要求證明持有者在握手時對交換資料進行數字式標識。證明持有者對包括證明的所有資訊資料進行標識以說明自己是證明的合法擁有者。這樣就防止了其他使用者冒名使用證明。

證明本身並不提供認證,只有證明和金鑰一起才起作用。 4ssl的安全性服務對終端使用者來講做到盡可能透明。一般情況下,使用者只需單擊桌面上的乙個按鈕或聯接就可以與ssl的主機相連。

與標準的http連線申請不同,一台支援ssl的典型網路主機接受ssl連線的預設埠是443而不是80。

當客戶機連線該埠時,首先初始化握手協議,以建立乙個ssl對話時段。握手結束後,將對通訊加密,並檢查資訊完整性,直到這個對話時段結束為止。每個ssl對話時段只發生一次握手。

相比之下,http 的每一次連線都要執行一次握手,導致通訊效率降低。一次ssl握手將發生以下事件:

1.客戶機和伺服器交換x.509證明以便雙方相互確認。

這個過程中可以交換全部的證明鏈,也可以選擇只交換一些底層的證明。證明的驗證包括:檢驗有效日期和驗證證明的簽名許可權。

2.客戶機隨機地產生一組金鑰,它們用於資訊加密和mac計算。這些金鑰要先通過伺服器的公開金鑰加密再送往伺服器。總共有四個金鑰分別用於伺服器到客戶機以及客戶機到伺服器的通訊。

3.資訊加密演算法(用於加密)和hash函式(用於確保資訊完整性)是綜合在一起使用的。***scape的ssl實現方案是:

客戶機提供自己支援的所有演算法清單,伺服器選擇它認為最有效的密碼。伺服器管理者可以使用或禁止某些特定的密碼。

http帳號和密碼傳輸過程中都是明文嗎

貨物在快遞運輸過程中損壞要怎樣賠償

請教運輸過程中貨物損壞的法律責任問題

和別人交談的過程中

http帳號和密碼傳輸過程中都是明文嗎

貨物在快遞運輸過程中損壞要怎樣賠償

請教運輸過程中貨物損壞的法律責任問題

和別人交談的過程中

相關推薦