既然说 HTTP 是明文传输，为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码？ 第1页

HTTP的明文传输带来的问题是无法防止中间人截获、盗取和篡改信息，从你的路由器、运营商到对方服务器，中间每一步都是明文。这里面可下手的地方太多了。

比如很多地方电信运营商就擅自给用户的网页插入浮动窗口广告，甚至影响正常浏览，不知情的用户还骂网站。其实这就是HTTP的明文特性导致的天然漏洞，对HTTPS网站则束手无策。因为后者只有用户和服务器能看到真实请求数据，对所有中间环节都加了密，自然也就无从篡改。

是不是好多人有微博账号莫名关注或点赞某些垃圾僵尸粉、营销号或者取关好友？在微博没有全站HTTPS化之前这种现象普遍存在。有人说是官方恶意给大号涨粉（官方肯定不承认，底下的人会不会收钱办事很难说），但各种证据表明绝大多数都是中间有人动了手脚，比如前面说的与运营商合作的营销公司。他们可以通过截获请求盗取并伪造你的身份信息来关注一票僵尸号或给某些营销微博点赞。方法也简单，把你本次成功访问微博的cookie存下来，直接用这个cookie发送关注别人的请求就行。

这种情况根本无需窃取你密码，也就无所谓密码大量泄露了。

对黑客和黑产从业者来说，除非你是个有影响力的大V或高价值账户才值得完全盗走。否则对千千万万普通用户而言，在无感知的情况下借用你的身份做一些事才是最有用的。

而那个「很厉害的黑客，黑了很多计算机」，其实根本用不到HTTP的明文特性就能窃取你的大量信息，因为人家黑的不是传输阶段，而是从起始阶段就下手了。无论你在中间怎么加密，在自己电脑总要有明文吧。

另外，那些著名的「某某网站几百几千万用户数据泄露」其实只是冰山一角，绝大部分泄露都不会被外界得知。有的跟网站私下交易，有的窃取完数据堵上漏洞就不管了，有的说不定站方从头到尾都没察觉到这件事。更何况网上流传的很多用户账号密码包根本就是在黑产圈内流传了几年连剩余价值都榨干了才出于炫耀或引导舆论的目的被扔出来的……