很多QQ,網易郵箱只在登陸時採用HTTPs,那麼進去後都HTTP這樣的網站安全嗎?

http直接抓包不就可以獲得郵箱內很多數據了嗎


會有很多安全問題。

首先必須明確的是,機密性並不是安全的全部,甚至可以說機密性在安全的三個方面cia里是最容易保證的。

不保護session只保護登錄,其實只是保護了密碼不泄露。而密碼不泄露有很多種方法首先。例如挑戰應答,哈希比較等等。

問題最大的,是偽冒釣魚問題。

雖然登錄被保護了,但一旦有人獲取了session信息,就可以偽冒伺服器和你通話。他可以偽冒伺服器要你重新輸入用戶名密碼,你一旦輸入以後就完蛋了。

他可以修改你通信內容,例如通過郵箱發銀行帳號,可能修改成攻擊者的,讓你轉錢到他的帳戶。

這些攻擊都是對數據和通信來源的完整性攻擊,而不是機密性攻擊。


在你屏幕前弄 一個攝像頭 也就抓到全部郵箱數據了啊。。。問題主是否理解錯了計算機安全,和通信安全的區別?

此類的非點對點信道,一般都只需要保證密鑰不被泄漏。其它數據,無特徵無價值地,傳輸節點上誰那麼無聊抓取大量民用通信數據來閱讀啊(這個信道又不止你一個人用)。。

聯通移動也只在春節的時候監控一下微信紅包有多少量而已(https照樣擋不住毫無底線的計數監控,只是沒法篡改和讀取明細了而已)。


但是你抓不到https傳遞的密碼,就拿不到正確的session,就不能在任何時候抓任何人的http的數據了啊


QQ郵箱是可以全程https的

不安全。https登錄只保護了郵箱密碼,沒有保護內容


現在網易郵箱6.0簡約版設置里可以打開全程HTTPS。QQ郵箱我印象中是全程HTTPS的。


能抓內容的前提是你成功登錄獲得了認證,沒有成功登錄訪問內容頁面會被重定向到登錄頁面。


登錄的時候 保護了你的密碼 登錄只後的內容沒保護


並不是說http就不安全。

http本身只是傳輸協議,我們可以自己在協議之上對我們的App數據進行加密。思路可以和https基本一致,通過非對稱加密協商對稱加密的密鑰,之後所有的應用層數據都用對稱密鑰加密,配以ssl pinning,一樣可以做到安全,這需要對網路安全有相當的了解,不建議新手這麼做。

之所以現在都在普及https,是因為很多人沒法靠自己實現一套高效可靠的安全機制,而https通過協議層的支持,替我們做到了這一點。


推薦閱讀:

HTTP/2 對現在的網頁訪問,有什麼大的優化呢?體現在什麼地方?
既然說 HTTP 是明文傳輸,為什麼沒聽說哪個著名的網站因為採用 http 協議而暴露了用戶的密碼?
用 http 數據加密和 https 有什麼區別?
http協議請求響應頭中參數的疑問??
HTTP 在什麼情況下會請求超時?

TAG:信息安全 | HTTPS | 網易郵箱 | HTTP | 密碼學 |