为什么httpfox可以在HTTPS中捕获Google帐户清除密码?
问题描述:
我已经在Firefox上安装了httpfox。并且我尝试在Google帐户登录页面上捕获流量,但我为我的测试输入了错误的密码,并且令我惊讶的是,它在https页面中捕获了明确的密码。为什么httpfox可以在HTTPS中捕获Google帐户清除密码?
但我在Firefox/IE上试过fiddler,没有明确的数据被捕获。
我听说HTTPS头也加密了。但为什么他们仍然被抓获在httpfox?黑客有可能通过网络做同样的事情吗?
答
这真的取决于你正在探查这些值或数据在哪里。
我从未使用过任何一种工具,但是从我的理解我认为以下几点:
- 是HttpFox是一个浏览器插件。因此,它仅仅捕获在之前的流量数据(即,发送的内容)它被加密并发送并且在其接收和解密之后。
- fiddler比较是一个外部代理,因此它不会看到任何未加密的内容,因为它只监视通过的流量。
总的来说,httpfox会告诉你浏览器知道你的连接。小提琴手会告诉你什么服务器/代理服务器的方式连接到服务器将看到(垃圾)。
这也是你只应该安装和使用你信任的插件的原因。您可以拥有完美的网络安全性,始终使用https/SSL等,但如果您的其中一个插件窃取了美味点,它将无法帮助您。
这是正确的答案,但应该注意的是,您可以重新配置Fiddler和Firefox,以便Fiddler可以轻松查看Firefox的安全流量。请参阅:http://www.fiddler2.com/fiddler/help/httpsdecryption.asp – EricLaw