SSL을 사용하도록 설정했으며 jQuery AJAX 게시 요청을 수행하고 일부 필드를 서버에 보냈습니다.이것이 맞습니까? 방화범이 끌리는데 SSL로 보호되는 AJAX가 있어야합니까?
게시 매개 변수 아래 방화자를 통해 AJAX 게시 요청을 보면 모든 필드가 일반 텍스트로 표시됩니다.
그럼 암호를 일반 텍스트로 볼 수 있습니다. 이게 정상인가? 나는 또한 그것을 피들러 (fiddler)로보고 있는데, AJAX 요청을 기록하지도 않는다. (그래서 요청이 만들어지지 않았다.)
그래서 방화범이 브라우저에 설치되어 캡처 할 수 있습니까?
ssl은 데이터가 브라우저에서 웹 서버로 이동할 때 보안을 사용합니다. Firebug는 브라우저 플러그인으로, DOM 트리의 모든 것을 알고 있습니다. 방화 광구가 입력 필드와 양식 데이터를 표시하는 것이 합리적이라고 생각합니다.
내 머리 꼭대기에서 나는 방화범이 보내지는 것을 정확하게 보여줄 것이라고 생각합니다. 그렇지 않으면 인코딩 된 정보를 어떻게 든 디코딩한다는 의미입니다.
정말로 이것을 확인하려면 브라우저 외부에서 웹 트래픽을 캡처 할 수있는 도구를 사용하십시오. 예를 들어 Tcpdump.
예, FireBug가 암호화되기 전에 Firefox 내부의 요청을 캡처하기 때문에 필드 데이터를 볼 수 있습니다. Wireshark과 같은 프로토콜 분석기를 사용하여 실제 네트워크 트래픽을 검사하면 암호화 된 것으로 나타납니다.
"그렇다면이 암호는 일반 텍스트로 볼 수 있습니다. 정상입니까?"
넵. 데이터는 브라우저 (즉, 사용자 에이전트)에 상주하며 서버에 전달되기 전에 캡처됩니다. 모든 암호화 작업은 값이 닫힌 시스템에 들어가는 시점에서 스니핑 (sniffing)에 취약합니다. 따라서 시스템이 손상되면 (예 : 멀웨어에 의해) 거의 도움이되지 않습니다.
Fiddler는 기본적으로 HTTPS를 해독하지 않으므로 해당 옵션을 설정해야합니다. http://www.fiddler2.com/redir/?id=httpsdecryption – EricLaw