一个字——懒!
看了验证用户密码这件事,然后无聊就抓了简书的数据包,然后发现居然是明文的?
然后觉得,一般电脑应该还好,不会随便链接别人的WiFi,但是手机就不一样了,在外面无论是公共的还是各种餐厅的WIFI,手机肯定经常回去连接,于是我就想试试手机客户端是否也是明文传输的。
Wireshark功能比较强大,可以选择网络,于是打开WiFi,让手机连上,Wireshark中设置捕获WIFi的网络的数据包,于是就开始抓手机端的数据包,但是Wireshark有个缺点是信息显示太不明显,小白我实在是找的辛苦。于是换了Fiddle,不用选择网络只需要在连接设置中勾选远程可连接,端口为8888,然后在手机端连接上的
WIFI中设置代理为对应的IP和PORT,然后就开始了手机端的抓包之旅。
Android客户端
简书
探探
格瓦拉
豆瓣
前面的几个用户群体不是特别大,但是豆瓣这么多年了,也是明文让我表示百思不得其解,不过抓豆瓣FM的时候发现不是明文,于是我就困了=_=
由于开了代理,部分APP知乎,有道,网易云音乐,花瓣,为知等直接无法登录,这可能也是一种避免被抓包的措施吧。还有一些是通过第三方登录的方式,这确实是一个避免安全问题的好办法,把安全问题都交给大公司去处理。至于BAT的应用,没去测,经常被人盯着的,所以安全性都会做的比较好。
Web端
为知web
花瓣web
不抓不知道,一抓吓一跳。搜了搜,发现知乎上一篇文章国内大多数网站的密码在 post 传输过程中都是明文的,这正常吗?
要么认为小众网站没必要
纯属扯淡,有人会每个网站设置一个密码?貌似还真有,之前遇到一个妹子,每注册一个网站一个密码,密码多得自己都记不过来,每次要用的时候都不记得密码。但这只是极少的一部分,大部分人会设置相同的密码,你的所谓小众给别人带来了安全隐患。
要么只保证服务器端的安全,在到达服务器之前用户自己负责
这是什么SX逻辑就不懂了,网站登录端不是你做的?纯属推卸责任
懒
这才是真的原因
但愿国内早日改善这种情况吧!
周末开个WiFi,免密码,抓上几天的包,然后分析,或许你会发现更多……
最后推荐两篇好文章:
http://zhuoqiang.me/password-storage-and-python-example.html
//www.greatytc.com/p/0d2f68b84be0
醒来就在玩这个,玩了一天。最后发现啪啪啪的打了自己的脸,我们也该改了……