Вход, отправленный открытым текстом через SSL?

Question

Я тестировал свой сайт с включенным SSL и отключен с помощью OWASP ZAP (прокси, используемого для обхода трафика локального браузера), и заметил, что мой логин отправляется в виде открытого текста как по HTTPS, так и по HTTP. Есть ли способ предотвратить это?

Я использую Tomcat 8 и Eclipse Mars в качестве Java IDE для написания сайта. (изображение ниже, так как я не хватает респ представить его должным образом) https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00%20AM.png

Answer 1

Вы искажая, что вы видите - или, возможно, более точно, вы не принимая во внимание последствия где вы его видите.

По определению, что-то отправляется через HTTPS, это не в виде открытого текста.

OWASP ZAP - неправильный инструмент для наблюдения за этим, поскольку он разработан, чтобы иметь возможность взломать SSL-соединение посередине для целей наблюдения ... но этот подход «человек-в-середине» может " t будет сделано without your complicity.

Более подходящий инструмент для просмотра того, что ваш трафик действительно не является открытым текстом, был бы сниффером пакетов, например wireshark, где разница между HTTP и HTTPS будет очевидной и очевидной.