Почему httpfox может захватить пароль учетной записи Google в HTTPS?

Question

Почему httpfox может захватить пароль учетной записи Google в HTTPS?

Я установил httpfox на Firefox. и я попытался захватить трафик на странице входа в учетную запись Google, набрал неправильный пароль для своего теста и, к моему удивлению, он захватил чистый пароль на страницах https.

Но я попробовал fiddler на Firefox/IE, четкие данные не были получены.

Я слышал, что заголовки HTTPS также зашифрованы. но почему они все еще попадают в httpfox? Может ли хакер сделать то же самое по сети?

1

security https passwords fiddler httpfox

Источник

user1457616 07 ноя '12 в 23:45

1 ответ

Решение

Другие вопросы по тегам security https passwords fiddler httpfox

user409744 07 ноя '12 в 23:49 2012-11-07 23:49 · Accepted Answer · 2012-11-07 23:49

Это действительно зависит от того, где вы исследуете эти значения или данные.

Я никогда не использовал ни один из этих инструментов, но из своего понимания я предполагаю следующее:

httpfox это аддон для браузера. Как таковой, он просто захватывает данные трафика (то есть то, что отправлено) до того, как он зашифрован и отправлен и после того, как он получен и расшифрован.
Fiddler, по сравнению с ним, является внешним прокси-сервером и поэтому не видит ничего незашифрованного, поскольку он только отслеживает проходящий трафик.

В целом, httpfox покажет вам, что браузер знает о вашем соединении. fiddler покажет вам, что увидит любой сервер / прокси на пути к подключенному серверу (мусор).

Это также причина, по которой вам следует устанавливать и использовать только те дополнения, которым вы доверяете. Вы можете иметь идеальную сетевую безопасность, всегда использовать https/SSL и т. Д., Но это не поможет вам, если один из ваших аддонов крадет вкусные кусочки.