行業資訊 ev-ssl-news2

您現在所在的位置 首頁 > 行業資訊 > 為什么站點使用https加密之后還能看到相關數據?

為什么站點使用https加密之后還能看到相關數據?

為什么站點使用了https加密之后,還是能夠用firebug之類的軟件查看到提交到的信息,并且還是明文的?例如說這樣:

 

這是因為:https(ssl)加密是發生在應用層與傳輸層之間,所以在傳輸層看到的數據才是經過加密的,而我們捕捉到的http post,是應用層的數據,此時還沒有經過加密。這些明文信息,其實就是你的本地數據。

 

加密數據只有客戶端和服務器端才能得到明文,客戶端到服務端的通信過程是安全的。

 

可能有些讀者會對此表示擔憂了:這樣的話密碼不是會被本地惡意軟件截獲么?只能說的確存在這樣的可能。不過在銀行電商等安全防護程度較高的網站,除了https加密外,還有安全控件加密,用戶必須下載安全控件后才能輸入密碼,以支付寶為例:通過下圖可以發現就算在本地也無法查看賬號信息。

 

針對這個問題,沃通建議:行政、金融、電商等需要高安全防護的站點在實行https加密外,還應該部署沃通客戶端證書,以強身份認證的方式替代不安全的賬號密碼認證,確保登錄過程中的安全無憂,同時還能弱口令漏洞,最大程度保護用戶信息安全。

 

此外,針對使用安全控件輔助登錄的站點,沃通還建議使用代碼安全證書,以保證安全控件在下載傳輸過程中沒有被篡改及破壞。從而保證代碼的完整性,保護用戶不會被病毒、惡意代碼和間諜軟件所侵害。真正做到全面安全防護。

烈火江西时时软件