为何网站在使用 https 加密后,仍能通过类似 firebug 这样的软件查看提交的信息,以及是否为明文?举例来说:
原因在于:https ( ssl ) 加密发生在应用层和传输层之间,因此在传输层看到的数据都是加密的,而我们所捕获的 http post,就是在这个时候还没有加密的应用层数据。这种明文信息,实际上是你的本地资料。
只有在客户端和服务器端才能对加密数据进行明文处理,客户端对服务端的通信是安全的。
也许一些读者会有这样的担心:这样的话,难道密码不会被本地恶意软件拦截吗?这只能说明确实存在这种可能性。但在银行电商等安全性较高的网站中,除了 https 加密外,还有安全控件加密,用户必须下载安全控件才能输入密码,比如支付宝:即使在本地也无法查看帐号信息。
环度网信建议:在实施 https 加密之外,行政、金融、电商等需要高安全性的网站,还应配置客户端证书,以强认证代替不安全的帐号密码认证,保证用户登录过程中安全无后顾之忧,同时也大限度地保护用户信息安全。
另外,对于使用安全控件辅助登录的网站,环度网信还建议使用代码安全证书,以确保下载传输时不会被篡改或破坏安全控件。这样可以确保代码的完整性,防止用户受到病毒,恶意代码和间谍软件的攻击。切实做好安全防范工作。
SSL证书和代码签名证书申请均可联系环度网信。
- 扫一扫二维码可分享朋友或朋友圈
