只有SSL才能防止嗅探吗？

咩仙人 · 发表于 2012-4-28 22:28:29

enj0y 发表于 2012-4-28 20:46
非也，如果是密码之类无需解密的信息，可以在访客电脑上用MD5JS加密，再在服务器上验证即可 ...

除了ssl, 无解

前几天刚在oschina上和人讨论过客户端js加密问题, 有权嗅听的你在客户端再加密也没用, 因为对方根本没必要嗅听, 直接追加一段js到你html页最下面劫持你的表单好了, 你按submit还没加密前你的明文帐号信息全被转发出去了

enj0y · 发表于 2012-4-28 22:32:00

提示: 作者被禁止或删除内容自动屏蔽

咩仙人 · 发表于 2012-4-28 22:33:25

enj0y 发表于 2012-4-28 22:32
要是他有服务器权限，他还有必要嗅探么，直接程序记录不更好？？您的回答添的足真大。 ...

能嗅听的难道不能中途伪造么? 你到你服务器途中经过的任何节点都有权限, 不然你以为ISP怎么插广告的

qiqibian · 发表于 2012-4-28 22:38:06

咩仙人发表于 2012-4-28 22:33
能嗅听的难道不能中途伪造么? 你到你服务器途中经过的任何节点都有权限, 不然你以为ISP怎么插广告的 ...

SSL就可以了

enj0y · 发表于 2012-4-28 20:56:10

提示: 作者被禁止或删除内容自动屏蔽

wst321 · 发表于 2012-4-28 20:57:05

是的

408904199 · 发表于 2012-4-28 20:58:24

enj0y 发表于 2012-4-28 20:56
你是说，服务器IP和访客IP之类的？
只要是协议，需要三次握手的，除开用CDN外，服务器IP没法隐藏，用户IP ...

http://baike.baidu.com/view/16147.htm

enj0y · 发表于 2012-4-28 21:00:21

提示: 作者被禁止或删除内容自动屏蔽

慕容咩咩 · 发表于 2012-4-28 21:02:38

enj0y 发表于 2012-4-28 21:00
可能你理解有错误。
SSL https加密的只是https用户提交、服务器返回的数据而已。（前端）服务器IP、用户I ...

我觉得。。。楼主只想看他想看的答案。
http://www.sunk.eu.org/thread-120490-1-2.html

enj0y · 发表于 2012-4-28 21:04:42

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册