百科问答小站 logo
百科问答小站 font logo



既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码? 第1页

  

user avatar   aton 网友的相关建议: 
      

HTTP的明文传输带来的问题是无法防止中间人截获、盗取和篡改信息,从你的路由器、运营商到对方服务器,中间每一步都是明文。这里面可下手的地方太多了。

比如很多地方电信运营商就擅自给用户的网页插入浮动窗口广告,甚至影响正常浏览,不知情的用户还骂网站。其实这就是HTTP的明文特性导致的天然漏洞,对HTTPS网站则束手无策。因为后者只有用户和服务器能看到真实请求数据,对所有中间环节都加了密,自然也就无从篡改。


是不是好多人有微博账号莫名关注或点赞某些垃圾僵尸粉、营销号或者取关好友?在微博没有全站HTTPS化之前这种现象普遍存在。有人说是官方恶意给大号涨粉(官方肯定不承认,底下的人会不会收钱办事很难说),但各种证据表明绝大多数都是中间有人动了手脚,比如前面说的与运营商合作的营销公司。他们可以通过截获请求盗取并伪造你的身份信息来关注一票僵尸号或给某些营销微博点赞。方法也简单,把你本次成功访问微博的cookie存下来,直接用这个cookie发送关注别人的请求就行。

这种情况根本无需窃取你密码,也就无所谓密码大量泄露了。

对黑客和黑产从业者来说,除非你是个有影响力的大V或高价值账户才值得完全盗走。否则对千千万万普通用户而言,在无感知的情况下借用你的身份做一些事才是最有用的。


而那个「很厉害的黑客,黑了很多计算机」,其实根本用不到HTTP的明文特性就能窃取你的大量信息,因为人家黑的不是传输阶段,而是从起始阶段就下手了。无论你在中间怎么加密,在自己电脑总要有明文吧。


另外,那些著名的「某某网站几百几千万用户数据泄露」其实只是冰山一角,绝大部分泄露都不会被外界得知。有的跟网站私下交易,有的窃取完数据堵上漏洞就不管了,有的说不定站方从头到尾都没察觉到这件事。更何况网上流传的很多用户账号密码包根本就是在黑产圈内流传了几年连剩余价值都榨干了才出于炫耀或引导舆论的目的被扔出来的……


user avatar   tombkeeper 网友的相关建议: 
      

分清楚责任

一件事情如果做错了,会找到责任人,责任人很重要,不要帮人背锅。当然,也不要随便推锅。如果有人推锅给你,一定要怼回去,用邮件怼。


做好自己的事情

如果自己负责的事情做砸了,不要慌,也不要推锅。要分析一下root cause,找个solution出来,即使这个solution你自己搞不定,这个步骤也要做。尽量从工作流程中找到问题的根源 :)


不要放下自己的工作帮别人

除非老大正式的让你去协助别人(邮件为证),否则不要帮别人完成工作。很多时候,帮别人做不该做的事情,就是背锅的开始。


一切以邮件为准,不要口头协议

如果是口头确定过的东西,写个邮件发出来,抄收给所有相关的人,特别是相关的老大。并且,找他们要comments。这是以后避免背锅的最重要步骤。



这些不仅仅针对印度同事,而是针对所有同事。




  

相关话题

  如何看待中国企业“霸榜”全球隐私技术专利排行榜,目前国内的隐私计算做的怎么样? 
  乌云 2014 年 02 月爆出的支付宝登录漏洞有何危害,余额宝安全吗? 
  6位PIN码/数字密码是否比传统字符密码更加安全? 
  为什么fiddler无法抓到讯飞语音输入的请求? 
  为什么搞安全「猥琐」最重要? 
  如何看待b站up主tom表哥硬刚诈骗团伙的行为? 
  怎么看待现在的网络安全圈子? 
  为什么现在大部分密保都是靠手机号确认身份,运营商的SIM卡系统很难被入侵吗? 
  白帽子为什么不把漏洞直接发给厂商,而选择发到乌云上面? 
  浏览器根据charset判断编码方式的疑问? 

前一个讨论
如何看待国际乒联针对「世乒赛中国选手遭辱骂」发表声明,称反对一切形式的种族主义?
下一个讨论
给你三个亿人民币让你得治不了也缓解不了不会致命的三叉神经痛,你愿意吗?





© 2024-12-18 - tinynew.org. All Rights Reserved.
© 2024-12-18 - tinynew.org. 保留所有权利