百科问答小站 logo
百科问答小站 font logo



既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码? 第1页

  

user avatar   aton 网友的相关建议: 
      

HTTP的明文传输带来的问题是无法防止中间人截获、盗取和篡改信息,从你的路由器、运营商到对方服务器,中间每一步都是明文。这里面可下手的地方太多了。

比如很多地方电信运营商就擅自给用户的网页插入浮动窗口广告,甚至影响正常浏览,不知情的用户还骂网站。其实这就是HTTP的明文特性导致的天然漏洞,对HTTPS网站则束手无策。因为后者只有用户和服务器能看到真实请求数据,对所有中间环节都加了密,自然也就无从篡改。


是不是好多人有微博账号莫名关注或点赞某些垃圾僵尸粉、营销号或者取关好友?在微博没有全站HTTPS化之前这种现象普遍存在。有人说是官方恶意给大号涨粉(官方肯定不承认,底下的人会不会收钱办事很难说),但各种证据表明绝大多数都是中间有人动了手脚,比如前面说的与运营商合作的营销公司。他们可以通过截获请求盗取并伪造你的身份信息来关注一票僵尸号或给某些营销微博点赞。方法也简单,把你本次成功访问微博的cookie存下来,直接用这个cookie发送关注别人的请求就行。

这种情况根本无需窃取你密码,也就无所谓密码大量泄露了。

对黑客和黑产从业者来说,除非你是个有影响力的大V或高价值账户才值得完全盗走。否则对千千万万普通用户而言,在无感知的情况下借用你的身份做一些事才是最有用的。


而那个「很厉害的黑客,黑了很多计算机」,其实根本用不到HTTP的明文特性就能窃取你的大量信息,因为人家黑的不是传输阶段,而是从起始阶段就下手了。无论你在中间怎么加密,在自己电脑总要有明文吧。


另外,那些著名的「某某网站几百几千万用户数据泄露」其实只是冰山一角,绝大部分泄露都不会被外界得知。有的跟网站私下交易,有的窃取完数据堵上漏洞就不管了,有的说不定站方从头到尾都没察觉到这件事。更何况网上流传的很多用户账号密码包根本就是在黑产圈内流传了几年连剩余价值都榨干了才出于炫耀或引导舆论的目的被扔出来的……


user avatar   tombkeeper 网友的相关建议: 
      

分清楚责任

一件事情如果做错了,会找到责任人,责任人很重要,不要帮人背锅。当然,也不要随便推锅。如果有人推锅给你,一定要怼回去,用邮件怼。


做好自己的事情

如果自己负责的事情做砸了,不要慌,也不要推锅。要分析一下root cause,找个solution出来,即使这个solution你自己搞不定,这个步骤也要做。尽量从工作流程中找到问题的根源 :)


不要放下自己的工作帮别人

除非老大正式的让你去协助别人(邮件为证),否则不要帮别人完成工作。很多时候,帮别人做不该做的事情,就是背锅的开始。


一切以邮件为准,不要口头协议

如果是口头确定过的东西,写个邮件发出来,抄收给所有相关的人,特别是相关的老大。并且,找他们要comments。这是以后避免背锅的最重要步骤。



这些不仅仅针对印度同事,而是针对所有同事。




  

相关话题

  如何看待 CIA 利用瑞士的 Crypto AG 公司窃取 120 多个国家的情报? 
  我能否自己设计一个编码方式,替代 MD5 用于哈希呢? 
  全面普及 HTTPS 有意义吗? 
  如何看待腾讯致歉 QQ 读取浏览器历史:为判断是否恶意登录,已更换技术?这会对用户信息安全带来隐患吗? 
  如何看待 HTTP/3 ? 
  SolarWinds软件被黑客入侵,其目标和影响有哪些? 
  WebSocket 是什么原理?为什么可以实现持久连接? 
  网银安全吗?工资卡开网银好吗? 
  浏览器根据charset判断编码方式的疑问? 
  如何制作高质量的(破译用)字典? 

前一个讨论
如何看待国际乒联针对「世乒赛中国选手遭辱骂」发表声明,称反对一切形式的种族主义?
下一个讨论
给你三个亿人民币让你得治不了也缓解不了不会致命的三叉神经痛,你愿意吗?





© 2024-11-21 - tinynew.org. All Rights Reserved.
© 2024-11-21 - tinynew.org. 保留所有权利