很多QQ,網易郵箱只在登陸時採用HTTPs，那麼進去後都HTTP這樣的網站安全嗎？

01-01

http直接抓包不就可以獲得郵箱內很多數據了嗎

會有很多安全問題。

首先必須明確的是，機密性並不是安全的全部，甚至可以說機密性在安全的三個方面cia里是最容易保證的。

不保護session只保護登錄，其實只是保護了密碼不泄露。而密碼不泄露有很多種方法首先。例如挑戰應答，哈希比較等等。

問題最大的，是偽冒釣魚問題。

雖然登錄被保護了，但一旦有人獲取了session信息，就可以偽冒伺服器和你通話。他可以偽冒伺服器要你重新輸入用戶名密碼，你一旦輸入以後就完蛋了。

他可以修改你通信內容，例如通過郵箱發銀行帳號，可能修改成攻擊者的，讓你轉錢到他的帳戶。

這些攻擊都是對數據和通信來源的完整性攻擊，而不是機密性攻擊。

在你屏幕前弄一個攝像頭也就抓到全部郵箱數據了啊。。。問題主是否理解錯了計算機安全，和通信安全的區別？

此類的非點對點信道，一般都只需要保證密鑰不被泄漏。其它數據，無特徵無價值地，傳輸節點上誰那麼無聊抓取大量民用通信數據來閱讀啊（這個信道又不止你一個人用）。。

聯通移動也只在春節的時候監控一下微信紅包有多少量而已（https照樣擋不住毫無底線的計數監控，只是沒法篡改和讀取明細了而已）。

但是你抓不到https傳遞的密碼，就拿不到正確的session，就不能在任何時候抓任何人的http的數據了啊

QQ郵箱是可以全程https的

不安全。https登錄只保護了郵箱密碼，沒有保護內容

現在網易郵箱6.0簡約版設置里可以打開全程HTTPS。QQ郵箱我印象中是全程HTTPS的。

能抓內容的前提是你成功登錄獲得了認證，沒有成功登錄訪問內容頁面會被重定向到登錄頁面。

登錄的時候保護了你的密碼登錄只後的內容沒保護

並不是說http就不安全。

http本身只是傳輸協議，我們可以自己在協議之上對我們的App數據進行加密。思路可以和https基本一致，通過非對稱加密協商對稱加密的密鑰，之後所有的應用層數據都用對稱密鑰加密，配以ssl pinning，一樣可以做到安全，這需要對網路安全有相當的了解，不建議新手這麼做。

之所以現在都在普及https，是因為很多人沒法靠自己實現一套高效可靠的安全機制，而https通過協議層的支持，替我們做到了這一點。