先放抓包結(jié)果:
x-requested-with: XMLHttpRequest
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Host: account.178.com
Content-Length: 114
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: rtime30039253=6; ltime30039253=1334425234605; cnzz_eid30039253=90455201-1312986979-http%3A//bbs.ngacn.cc/; __utma=177956021.147487603.1312987864.1318068811.1321067060.3; CNZZDATA30039253=cnzz_eid=79006382-1341073970-http%253A%252F%252Fbbs.ngacn.cc%252Fnuke.php%253Ffunc%253Ducp%2526uid%253D94020&ntime=1341073970&cnzz_a=2&retime=1341074523945&sin=http%253A%252F%252Fbbs.ngacn.cc%252Fnuke.php%253Ffunc%253Ducp%2526uid%253D94020<ime=1341074523945&rtime=0; b_smile=17DD0D1; _sid=cede13081d4ecf65a8f8532795e1c3539666b534; _i=hH1Rw%2BWBPIb2sKa8ul1QklKcPvLPJfZ0JGxtizICM2XASNK05V4ADQ%3D%3D_03841e0931852aba51020deb2638d51f_1334369148; _l=1341073978; _178c=94020%23windyoyo8%40163.com%23windyoyo; _e=31536000; __utma=258265685.1581331641.1336564012.1336564012.1336564012.1; __utmz=258265685.1336564012.1.1.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=diablo3%20%E7%A8%8E
_act=renew_pass&old_pass=xh****06&new_pass=xh****12&new_pass2=xh****12&nickname=windyoyo&email=windyoyo8%40163.com
-----------------編輯的分割線-----------------------------
看到有不少人說(shuō)我偽技術(shù)宅。。。那我就改標(biāo)題。
感謝這么多真。技術(shù)宅來(lái)和我認(rèn)真討論。
許久以前我寫(xiě)登錄程序,密碼明文傳遞是要挨批的。
不過(guò)那時(shí)也知道密文傳遞只是蒙了一層薄薄的紗而已。如果傳遞的是固定不變的字符串,的確加密了也沒(méi)什么意義。
我昨晚后來(lái)又看了幾個(gè)其他論壇,也都是明文傳遞。
那么我OUT好久了。掩面。
我所提到過(guò)的登錄驗(yàn)證過(guò)程,其實(shí)是做一個(gè)通信客戶端時(shí)用到的。我仔細(xì)想了下,也好像是不太適合用在web方面。
所以。。。分割線上面的就當(dāng)我沒(méi)說(shuō)好了。要安全還是走SSL合適。
對(duì)于“不明覺(jué)厲”的同學(xué),只要記住這個(gè)結(jié)論:因?yàn)榈卿浾搲径际敲魑膫鬟f的密碼,所以在網(wǎng)吧等地方登錄時(shí)是有一定的被嗅探到密碼的風(fēng)險(xiǎn)。
以上。
果然是技術(shù)宅 占座出售各種氪金F5 雖然不懂,不過(guò)技術(shù)宅還是很厲害的。不明覺(jué)厲
這也算漏洞吧 火前留名!看不懂剛才那個(gè)帖子的10L啥下場(chǎng)來(lái)著
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去
版主認(rèn)為不適合出現(xiàn)的用戶會(huì)被叉出去好像很高端的樣子一句也沒(méi)看懂。。。
給技術(shù)宅跪了。完全不懂的擼過(guò),幫挽尊!
好高端的樣子
看不懂 其實(shí)很多網(wǎng)站的密碼都是明文傳送的,本地抓包很容易抓到。
所以還是ssl吧。
客戶端?看來(lái)是說(shuō)手機(jī)的...沒(méi)態(tài)度的圍觀下現(xiàn)在遍地碼農(nóng),二哥也不好做了這個(gè).... 先占座 看戲嗎是不是直接放數(shù)據(jù)庫(kù)文件夾然后刷新就可以讀出?
mysql明天上課才學(xué)呢
環(huán)境還沒(méi)搭建 想自己試下 還是算了
至于說(shuō)明文的 密碼肯定是到了服務(wù)端才能進(jìn)行加密
有心思的人中途嗅探先截取了你的 你也沒(méi)撤我都懶得戰(zhàn)了,除了鎖帖還能干啥
不過(guò)你這個(gè)不對(duì)
現(xiàn)在所有論壇的密碼,在發(fā)送到服務(wù)器這一步,都會(huì)是這樣。因?yàn)槊艽a只有發(fā)送給php執(zhí)行之后,才能進(jìn)行加密
單純的客戶端,也就是IE chrome FF是不能做加密這個(gè)動(dòng)作的