Это правильно? Должен ли firebug видеть AJAX, защищенный SSL?

Question

Я включил SSL и выполняю пост-запрос jQuery AJAX и отправляю некоторые поля на сервер.

Когда я смотрю на пост-запрос AJAX через firebug под параметрами поста, я вижу все поля воткрытый текст.

Таким образом, это означает, что я могу видеть пароли в открытом тексте.Это нормально?Я также смотрю на него с помощью fiddler, и он даже не регистрирует этот AJAX-запрос (так что, как будто запрос не был выполнен).

Так просто потому, что firebug установлен в браузере и может его захватывать или как?

Answer 1

ssl обеспечивает безопасность при перемещении данных из браузера в веб-сервер. Firebug - это плагин для браузера, он знает все в дереве DOM. Я думаю, что для firebug имеет смысл отображать поля ввода и данные формы.

Answer 2

Да, вы можете видеть данные поля, потому что FireBug захватывает запросы внутри Firefox до того, как они зашифрованы. Если вы проверите реальный сетевой трафик с помощью анализатора протоколов, например Wireshark , вы увидите, что он зашифрован.

Answer 3

«Значит, это означает, что я могу видеть пароли открытым текстом. Это нормально?»

Да.Данные хранятся в вашем браузере, то есть - пользовательском агенте, и записываются до того, как они передаются на сервер.Любая операция шифрования уязвима для сниффинга в точке, в которой значение попадает в закрытую систему.Вот почему, если ваша машина скомпрометирована (скажем, вредоносным ПО), очень мало что поможет.

Answer 4

Вдобавок ко мне, я думаю, что Firebug показывает вам именно то, что отправляется.В противном случае это будет означать, что он каким-то образом декодирует закодированную информацию.

Если вы действительно хотите это подтвердить, используйте инструмент, который может захватывать веб-трафик за пределами браузера.Tcpdump например.