Шифрование паролей, предоставляемых через почтовые запросы

Question

Я изучал сети и регистрировал почтовые запросы, которые я делаю в Firefox, используя LiveHttpHeaders. Что интересно, когда я захожу на сайты с https или без него, отправляемый запрос Post включает в себя мое имя пользователя и пароль в виде обычного текста! Не опасно ли это в том случае, если системный администратор ведет журналы всех сетевых запросов или если кто-то прослушивает беспроводную сеть? Я пробовал это на Gmail, а также на других сайтах. Я бы подумал, что люди в Google уже думали об этой проблеме, так что я что-то забыл? Разве не было бы разумнее шифровать на стороне клиента, чтобы преодолеть эту возможную дыру в безопасности?

Вот блок содержимого для примера запроса (я заменил свое действительное имя пользователя и пароль на USER и PASS) по очевидным причинам.

ltmpl = по умолчанию & ltmplcache = 2 & продолжают = HTTPS% 3A% 2F% 2Fmail.google.com% 2Fmail% 2F% 3F & обслуживание = почта & тт = ложно & DSH = 8406886653173005655 & ltmpl = по умолчанию и гл = еп & ltmpl = по умолчанию & SCC = 1 & сс = 1 & GALX = 4EQjnPdWBb0 & E-mail = USER & Passwd = PASS & rmShown = 1 & зарегистрировались = Вход + в & ASTS =

Answer 1

Когда вы отправляете информацию по защищенному соединению SSL, только сторона, владеющая закрытым ключом для сервера, с которым вы общаетесь, может прочитать отправленные вами данные.

Так что, хотя вам и ваше имя пользователяи пароль отображается в виде простого текста, это потому, что вы прослушиваете их до того, как они зашифрованы.

Если вы хотите увидеть, как на самом деле выглядит SSL-соединение, поместите дампер пакетов между клиентом и сервером.Не работает на ни на одной машине.Такой дампер пакетов увидит поток зашифрованных, нечитаемых данных.

Answer 2

Это не по теме, возможно, вам лучше спросить в списке рассылки по безопасности или аналогичном.

Но я думаю, что вы путаетесь в том, что программа, которую вы используете для отслеживания информации, расшифровываетСеанс SSL (при условии, что он есть).То, о чем вы спрашиваете («шифрование на стороне клиента»), в значительной степени сделано с помощью SSL.Возможно, вы захотите взглянуть на тему .