Почему facebook не использует открытый ключ для шифрования пароля перед отправкой его на сервер?
Как показано на скриншоте выше, facebook показывает пароль пользователей в заголовках запросов.
Мне просто интересно узнать, почему facebook не скрывает пароль с помощью открытого ключа.
EDIT:
Даже если это работа HTTPS для шифрования данных, но HTTPS может быть сломана с помощью Fiddler, как приложения.
В чем ошибка шифрования пароля перед отправкой на сервер?
Как @WizKid прокомментировал пароль, зашифрованный с помощью HTTPS, прежде чем он будет отправлен из вашего браузера, но консоль, которую вы проверяете, получает данные до их зашифрования. Вы можете попробовать использовать инструмент, как скрипач, чтобы увидеть, что на самом деле послали
Это именно то, что мой вопрос. Если facebook знает, что HTTPS может быть нарушен приложением для скрипача, то почему он не рассматривает шифрование пароля с помощью открытого ключа. или фейсбук не знает ... ??? –
В скрипалле пароль зашифрован, и единственный способ его увидеть - это «взломать» ваш браузер, приняв корневой сертификат от скрипача в вашем браузере, чтобы браузер мог принимать ключ паба из скрипта вместо открытого ключа из facebook. HTTPS основан на использовании открытого ключа (по крайней мере, для обмена ключами для использования для остальной части сообщения) – rypskar
Как отметил @WizKid, в шифрования вы предлагаете в вопросе является точно, что HTTPS делает.
HTTPS использует подписанных сертификаты, которые предустановленные в вашем браузере или устройствах, предусмотренного доверенной третьей стороны органов сертификации, к Validate идентичности сайта и связанным серверы. Это предотвратило бы сайт фишинга и человек-в-середине (MITM) атака.
связи между пользователями и веб-сервер является зашифрованном по Transport Layer Security (TLS) или Secure Socket Layer (SSL), так что ваш обмен данными защищен MITM атак.
Как HTTPS полагается на доверителя в подписанного сертификата, можно расшифровать данные с помощью Скрипача потому что Скрипача попросил вас добавить самогенерируемый сертификат доверия. Без вашего разрешения ваши данные будут safe.
Разве это не то, что такое HTTPS? – WizKid
Я не понимаю, почему вопросы стали отрицательными. точки. Но я действительно хочу знать, как facebook может быть настолько невежественным, что наплевать на атаку «человек-в-середине», которую можно сделать, используя приложения «скрипач». –
Невозможно, чтобы веб-приложение не позволяло пользователям делать мужчину в средней атаке на себя.Сторонний пользователь не может использовать fiddler для перехвата данных без предварительного взлома компьютера, чтобы принять корневой сертификат fiddler. – rypskar