前几天我注意到,如果我运行IEInspector的HttpAnalyser并捕获登录我的银行账户或亚马逊账户时的post数据,post数据将以明文显示我的用户名和密码。这有点令人担忧。有人知道SSL加密在何时发生吗?我认为这意味着安装在您计算机上的任何软件都可能访问此post数据。非常可怕。
前几天我注意到,如果我运行IEInspector的HttpAnalyser并捕获登录我的银行账户或亚马逊账户时的post数据,post数据将以明文显示我的用户名和密码。这有点令人担忧。有人知道SSL加密在何时发生吗?我认为这意味着安装在您计算机上的任何软件都可能访问此post数据。非常可怕。
这个东西内置在你的浏览器里面!浏览器是加密文本的实体,因此它显然会有加密和未加密文本的副本。你展示的插件可以访问IE的所有内容。
如果你想要真正了解正在发生的事情,请使用wireshark。它可以读取浏览器输出的实际网络流量。
安全套接字层 - 它加密了通过套接字(网络/互联网)传输的数据,而不是在您的本地计算机上进行加密。
SSL加密了“通过网络”的流量。因此,在您的计算机和接收服务器之间是安全的(减去SSL漏洞,例如刚刚发现的新漏洞-http://twit.tv/sn223)。
如果您的计算机上有恶意软件,则不再安全。 SSL无法帮助您。 恶意软件可以使用更基本的攻击方式,例如键盘记录等。
SSL非常安全。
我认为Thilo已经找到了正确的答案 - IEInspector似乎在IE下运行,而不是作为一个独立的工具。因此,我怀疑它能够显示流量在通过SSL堆栈并离开浏览器之前。
你可以通过下载像Wireshark这样的数据包嗅探器并从网络卡中嗅探流量来证明这一点。你会发现数据包实际上是加密的,你的登录信息并没有以明文的形式发送出去。
在网络传输之前,SSL加密一定会发生。数据包嗅探器无法获取请求或响应的内容。
IEInspector是否在IE内部运行(作为插件)?如果是这种情况,它可能会做一些相当恶劣的事情(但您在安装时已经同意了这一点)。