我最近一直在思考登录、支付和敏感数据处理,甚至在流行的网络应用程序中也是如此,老实说,我有点害怕,可能是由于无知,所以我需要在这里问。
我有点惊讶的是,对于能够引入代理(通过计算机/网络)的人来说,读取凭据和敏感数据是多么容易,我想知道是否有一些(通常是众所周知的)方法可供开发人员解决我猜这是一个问题。
假设您选择了一个非常知名的网站,具有传统的电子邮件密码登录表单选项(例如爱彼迎)并且:
POST /api/v2/login[...]
{[...]"authenticationParams":{"email": "email":"YOUR_EMAIL_HERE","password":"YOUR_PASS_HERE"}}}
因此,任何能够在我的计算机/网络中引入代理的人都可以在人类可读的文本中看到凭据(用户名和密码)。
所以我的问题是,是否有任何标准方法可以防止它轻易准备好?这是正常情况吗?
提前致谢,并对我在网络安全领域的基础知识表示歉意。
所以我的问题是,是否有任何标准方法可以防止它轻易准备好?这是正常情况吗?
当然。它称为 TLS,这就是它存在的原因。大多数网站都使用 HTTPS,而 HTTPS 正是出于这个原因而依赖 TLS。