网站开发中你考虑过如何保护登陆密码么?
当你适应网站上网的时候你有发现很多网站都是走的https协议么?例如百度:
很多网站现在都会在自己的http协议外面加上ssl或者tls进行一次证书校验,那这样校验的目的是是那么呢?
SSL/TLS其实就是相当于个管道,所有的网站信息都是在这个管道中进行传输。而这样的好处是什么呢?
如果你走了https当黑客利用中间人进行窃听你传递的内容的时候看到也只能是密文,无法解开。这样你传递的数据的安全性就得到了很好的保障。
那么随之而来的是,我必须要用SSL/TLS协议来保障我的密码么,肯定不是的了!
你也可以将你的密码加密后再来进行传递,然后收到后再进行解密。
我么来看一下这个不安全的网站,这是一个需要登陆的页面
我们打开我们的burpsuite进行抓包我们来看:
密码明明白白的被显示出来了!这样的登陆方式肯定是不安全的了!