요 전날 IEInspector의 HttpAnalyser를 실행하고 은행 계좌 또는 아마존 계좌에 로그인 할 때 게시 데이터를 캡처하면 게시 데이터에 내 사용자 이름과 암호가 일반 텍스트로 표시됩니다. 이것은 약간에 관한 것입니다. 누구든지 SSL 암호화가 이루어지는 시점을 알고 있습니까? 이것은 사용자 컴퓨터에 설치된 모든 소프트웨어가 잠재적으로이 게시물 데이터에 액세스 할 수 있음을 의미합니다. 매우 무서운.SSL은 실제로 얼마나 안전합니까?
브라우저에 문제가 내장되어 있습니다. 브라우저는 텍스트를 암호화하는 엔티티이므로 암호화 된 텍스트와 암호화되지 않은 텍스트의 사본을 가지고 있습니다. 표시된 플러그인은 IE가하는 모든 것에 액세스 할 수 있습니다.
무슨 일이 벌어지고 있는지 정확하게 나타내려면 wireshark을 사용하십시오. 그러면 브라우저가 출력하는 실제 네트워크 트래픽을 읽습니다.
보안 소켓 레이어 - 로컬 컴퓨터가 아닌 소켓 (네트워크/인터넷)을 통해 데이터를 암호화합니다.
SSL 암호화는 네트워크에 도달하기 전에 반드시 발생합니다. 패킷 스니퍼는 요청 또는 응답의 내용을 가져올 수 없습니다.
IEInspector는 IE 내부에서 (플러그인으로) 실행됩니까? 이 경우에, 그것은 아마도 꽤나 불쾌한 일을 할 수 있습니다 (그러나 당신이 그것을 설치했을 때 당신은 동의했습니다).
SSL은 "over the wire"트래픽을 암호화합니다. 따라서 컴퓨터와 수신 서버 간에는 안전합니다 (방금 발견 된 새로운 취약점 - http://twit.tv/sn223과 같은 SSL 취약성 제외).
컴퓨터에 악성 소프트웨어가있는 경우 더 이상 안전하지 않습니다. 그리고 SSL은 당신을 전혀 도울 수 없습니다. 악의적 인 소프트웨어는 키로깅과 같은 더 많은 기본 공격을 사용할 수 있습니다 ...
SSL은 매우 안전합니다.
저는 Thilo가 올바른 대답을 얻었습니다. IEInspector는 별도의 도구가 아닌 IE에서 실행되는 것으로 보입니다. 따라서 전에 트래픽 을 표시 할 수 있다고 의심됩니다. 그러면 SSL 스택을 거치고 브라우저가 종료됩니다.
Wireshark과 같은 패킷 스니퍼를 다운로드하고 네트워크 카드에서 트래픽을 스니핑하여이를 증명할 수 있습니다. 패킷이 실제로 암호화되어 있고 로그인이 실제로 일반 텍스트로 전달되지는 않습니다.
브라우저에 uid/pwd가 표시되는 문제가 아니라 SSL에 관한 질문입니다. 짧은 SSL로 괜찮습니다. 최근에는 아주 미묘한 공격이 있었지만 TLS 1.0 이상 (특히 TLS는 IETF의 비준 된 SSL입니다) 여전히 좋은 프로토콜입니다.
그러나 SSL을 사용하여 해결하려는 문제 ? 서버 인증을 통해 실시간으로 탬퍼를 탐지하고 비밀을 유지할 것을 염려한다면 클라이언트 또는 서버가 40 비트 또는 56 비트 RC4 또는 DES와 같은 취약한 암호 슈트로 협상하지 않도록하십시오. , 또는 MD4 등.
SSL은 필요한 경우 클라이언트 인증을 제공 할 수도 있지만 선택 사항입니다.
마지막주의 사항.SSL 일반적으로 어떤 것보다 더 나은 wwaayy 당신은 당신이 그것을 입력
나는 당신이 당신의 컴퓨터에 데이터에 대한 걱정해야한다고 생각하지 않습니다
이 (악성 소프트웨어 단지 비밀번호가 유출 될 수 :) 마이클
환호를 디자인하거나 수 다른 것). SSL (현재 TLS)은 전송중인 데이터를 보호합니다. 다른 기계에서 와이어를 스니핑하고 여전히 평문인지 확인하십시오. – SapphireSun
수퍼 유저가 있어야합니다 : D –
"컴퓨터에 설치된 모든 소프트웨어는이 게시물 데이터에 잠재적으로 액세스 할 수 있습니다"- 다른 사람이 말했듯이, 일단 컴퓨터에 소프트웨어를 설치하면 모든 베팅이 해제됩니다 그것이 할 수있는 일의. 이것이 당신이 당신의 컴퓨터에 어떤 소프트웨어를 설치하는지 조심해야 할 필요가있는 이유입니다. iPhone OS를 제외하고 모두 잠겨 있기 때문에 싫어합니다./ –