請問在任何網站作帳號登入時,若該網址頁面不是使用HTTPS,但網頁內登入相關的程式碼連結有確認到是用HTTPS作反應,這樣加密傳輸還是有效嗎?憑證如何確認呢?
(已讀過相關答案參考<http://ithelp.ithome.com.tw/question/10000019 >)
已邀請的邦友 {{ invite_list.length }}/5
基本上你的問題,antijava 已經答覆了。https 則當下那一次的通訊是加密的,其於用 http 則不加密,也就是會被看光光。
以前大家以為只要送帳密那一次 request 使用 https 就好了,因為帳密也就只有這一次會發送,所以不要每次都使用高成本的 https (https 成本約一千倍 http 運算)。但是後來發現,認證後所產生的認證 session/token,會在後續的 http 被當明碼送來送去,駭客不必攔截帳密,只需攔截認證 session/token,照樣可以冒充身份進入網站。所以,像 google 後來就全程使用 https,因為光是在登入做 https,根本就聊備一格、自我安慰用的。
這樣加密傳輸還是有效嗎?
有
憑證如何確認呢?
瀏覽器會做確認,有問題時會跳出警告視窗
所以沒用HTTPS就是明碼傳輸任人看對嗎?還是可以透過程式碼加工解決?
那IT邦幫忙不會是明碼傳輸吧?
所以沒用HTTPS就是明碼傳輸任人看對嗎?
是明碼
要有本事的人才看得到
還是可以透過程式碼加工解決?
可以
如果你打算自己寫一個瀏覽器的話
那IT邦幫忙不會是明碼傳輸吧?
是明碼
跟50%以上的網站一樣
php post應該是用usr agent可以try的,理論上要try密碼不需要寫瀏覽器喔
iThome鐵人賽
看影片追技術