既然说 HTTP 是明文传输，为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码？

因为安全责任转嫁到用户身上了。如果是通过中间人方式攻击泄露的个人用户信息责任往往在于用户（谁让他们随便连开放WiFi热点的？）就比如网易免费邮会拿http传输登录信息（虽然密码会做对称性加密但），只有

既然说 HTTP 是明文传输，为什么没听说哪个著名的网站因为采用 HTTP 协议而暴露了用户的密码？因为安全责任转嫁到用户身上了。如果是通过中间人方式攻击泄露的个人用户信息责任往往在于用户（谁让他们随便连开放WiFi热点的？）就比如网易免费邮会拿http传输登录信息（虽然密码会做对称性加密但），只有那些不考虑隐私安全的用户才会中枪。

2015年央视3.15晚会_财经_中国网

主持人 陈伟鸿：黑客WIFI现在实时搜出了各位手机中的电子邮箱账号，我们在这些邮箱里面随机选一个，看看这是哪一位现场观众的？请自己认领一下。
主持人 谢颖颖：这是你的邮箱号吗？
观众：是我的邮箱。
主持人 谢颖颖：你刚才有没有用手机接收邮件了吗？
观众：没有。
主持人 谢颖颖：你的邮箱密码我们也能够知道，要不要看一下，证实一下，为了保护他的隐私，我们打上星号，我们把第四位和倒数第三位用星号挡住了，我告诉你，今天回去以后一定把登陆密码给改了。
主持人 陈伟鸿：确实在移动互联网的今天，很多人为了求方便，都在手机上收发邮件，其实只要你的手机和邮箱是连接的，手机每隔几分钟就会自动登陆一下邮箱，检查是否有新的邮件，这个过程就会被黑客捕获到，他们就可以截取到你的邮箱号码和邮箱密码。

http最不安全的是被钓鱼，其他的虽然危险但是没有那么多黑客去玩。

比如你被某人引导到假的淘宝网站，假的银行网站怎么办原答案有点误导价值观。更改
1.HTTP，超文本传输协议，是为了传输超文本数据设计的协议。超文本也是一种文本。
文本不等于 你全部能看懂。我在记事本里打一堆乱码也是文本。

2.HTTP协议是明文传输，但是网络这个东西是层次很明确的。也就是说，你这个明文只在于HTTP传输的是明文，哪怕这个明文是一堆乱码

3.HTTP没有商定文本内容必须全部是你看得懂的。不能把你看得懂=明文。http是应用层，是机器的层面，你是人，是人的层面
网络最重要的就是明确层次结构。

——————————分割线————————

人家网站又不傻，你说说传明文，就传明文?

说到底网络就是协议，协议是啥?

你听说过HTTP协议，你听说过http规定吗如果有一个很厉害的黑客，黑了很多计算机，这些计算机用户大部分网站的账户信息都会被这个黑客掌握，不管这些用户采用的是加密的https还是VPN。使用XSS（Cross Site Script）技术，美女A在某相亲网站上自己的签名里嵌入一段script，当宅男B点击A 的签名时，运行这段script，附带cookie访问链接里的美女A私有服务器，其实A只是一盗用美女照片的抠脚大汉，抠脚大汉就可以使用带有cookie的链接登录B的账户。

通过发送带有附件的邮件，附件是木马程序，用户只要双击打开，一个邪恶的种子就埋下了，这个木马程序可以收集用户敏感信息，源源不断发送出去，这个木马还可以接受远程控制，随时可以发动DDoS攻击。

http协议层面也有自己的加密实现，对于登录界面完全可以实现加密，但http协议是无状态的，为了判断客户端是否是登录状态，通常登录之后会为用户生成cookie，这个cookie就好比古代的令牌，客户端出示cookie服务器就知道应该呈现登录界面，而cookie是明文传输，只要能捕获到流量，就能获得cookie，获得cookie就可以登录账户。这。一般http不是这么钓密码的。

一般的做法是搭个开放WiFi，随便装个tcpdump之类的工具就可以了。

然后坐等别人连上来。（先前有一阵子校内有些网没有https的时候，我轻松就抓出了自己登录校园账号时候的明文密码，当时就有拿起自己路由器去教学楼的冲动）

讲道理如果都能黑到别人的电脑上了，那是真的很强了，可以放全局键盘钩子。

高票的XSS有些问题吧，一般cookie都是http only。js访问不到。而cookie是匹配域名的，私搭服务器也做不到，还不如用上面的开放WiFi方案。防范XSS是前端的基本素质，而且用了正常点的前端框架的都不会有这个问题。

这些中间人盗用cookie、盗取明文密码都很容易地可以用+1s解决。

另一种利用cookie搞事情的方式是钓鱼网站然后诱导用户搞个跨域请求。俗称CSRF攻击。防范也很简单，用同源策略禁掉跨域请求，同时认证信息不存在cookie里，而用js附带在请求内。

还有一种利用嵌套frame搞事情的方式，就是把别人的网页iframe，这样也可以诱导用户操作并得到一些敏感信息。俗称XFS攻击。防范的方法也一般是设置一下x-frame-options，也可以前端检测一下，有问题就不显示网页。

这是想到的一些常见攻击吧。

想想http+1s已经普及率高达60%了，就有些小激动。现代互联网的结构决定了http请求的流量只经过客户端、中间设备和服务器，不经过其他无关的机器，正常情况下是很难嗅探的。但是风险的确存在，除了传说中的直接攻击骨干网交换机，还有假wifi之类中间人手段。但还不是想偷就偷的程度。

HTTP的明文传输带来的问题是无法防止中间人截获、盗取和篡改信息，从你的路由器、运营商到对方服务器，中间每一步都是明文。这里面可下手的地方太多了。

比如很多地方电信运营商就擅自给用户的网页插入浮动窗口广告，甚至影响正常浏览，不知情的用户还骂网站。其实这就是HTTP的明文特性导致的天然漏洞，对HTTPS网站则束手无策。因为后者只有用户和服务器能看到真实请求数据，对所有中间环节都加了密，自然也就无从篡改。

是不是好多人有微博账号莫名关注或点赞某些垃圾僵尸粉、营销号或者取关好友？在微博没有全站HTTPS化之前这种现象普遍存在。有人说是官方恶意给大号涨粉（官方肯定不承认，底下的人会不会收钱办事很难说），但各种证据表明绝大多数都是中间有人动了手脚，比如前面说的与运营商合作的营销公司。他们可以通过截获请求盗取并伪造你的身份信息来关注一票僵尸号或给某些营销微博点赞。方法也简单，把你本次成功访问微博的cookie存下来，直接用这个cookie发送关注别人的请求就行。

这种情况根本无需窃取你密码，也就无所谓密码大量泄露了。

对黑客和黑产从业者来说，除非你是个有影响力的大V或高价值账户才值得完全盗走。否则对千千万万普通用户而言，在无感知的情况下借用你的身份做一些事才是最有用的。

而那个「很厉害的黑客，黑了很多计算机」，其实根本用不到HTTP的明文特性就能窃取你的大量信息，因为人家黑的不是传输阶段，而是从起始阶段就下手了。无论你在中间怎么加密，在自己电脑总要有明文吧。

另外，那些著名的「某某网站几百几千万用户数据泄露」其实只是冰山一角，绝大部分泄露都不会被外界得知。有的跟网站私下交易，有的窃取完数据堵上漏洞就不管了，有的说不定站方从头到尾都没察觉到这件事。更何况网上流传的很多用户账号密码包根本就是在黑产圈内流传了几年连剩余价值都榨干了才出于炫耀或引导舆论的目的被扔出来的……

你见过哪个小偷偷了东西大喊大叫的？

为什么没听说哪个著名的网站因为采用 http 协议而暴露了用户的密码？

原来犯罪行为都应该在社交网站上公开的啊？

真的泄露的时候一般也没人声张。就好比一个小偷，你偷了人家的东西，你还满世界宣扬，那你不是自己作死？

实际上根据HTTP协议的模型来看，中间人攻击就是最大的问题。你什么都是明文的，我真要动什么手脚不要太简单啊！国内前些年wifi开始普及的时候，我是不敢随便连wifi的。不是我不知道这个东西，在人家台湾满大街开始建wifi热点的时候我就已经了解了。我当时第一反应就是，针对这个情况，利用开放的wifi热点就能干很多坏事。后来果不出我所料，不久以后，频繁爆出wifi钓鱼的新闻。

而且你说的情况不对，如果我已经控制了你的计算机，我其实没什么兴趣监听你的HTTP报文。因为你对我来说已经是煮熟的鸭子了。我上高中的时候喜欢干一件事儿，在获取别人电脑的控制权以后，用一个看起来界面差不多的应用程序替换掉他原本的一些应用。当时脑子里没想那么多，只是想替换掉人家的杀毒软件，每天点开看到病毒库是最新的，这样就不容易失去控制。

另外，看到有一个答案以后不太同意，其实就目前来说，钓鱼的成本比走技术手段要低很多。其实能走社工的就不要走技术，费事儿。

最后，其实只要你相信周教主的话，你相对来说还是很安全的。

都A进个人PC了，还要这么麻烦么？


搞这种攻击的主要是老大哥。

看到这个问题忍不住发笑+1，我不用社工库，复盘一遍过程。决定和大家分享一下。

【法律声明：本回答仅代表本人，不代表本人供职公司。本人无意泄漏题主隐私信息，所有信息均为题主或题主相关方自行公开或根据法律法规公开于互联网的信息，本人已标明来源，如需删除请先行联系来源方。回答全文内容已经过题主同意】

题主姓名：杨*光，这是题主自己公开的，没办法，题主要建网站，当然要实名备案啦。你问我题主的网站在哪里？看题主签名，进入博客后，看到最底下的备案号了吗？（题主备案号省份写错了，注意修改，正确为蜀ICP备16036143号）查一下网站备案信息，就可以知道了。当然，题主自己暴露名字不算。（链接我都给了，需要的话git的历史也抹干净吧）

题主学号烦请题主自己点这个链接：http://www.ccse.uestc.edu.cn/view?type=59&id=6202这是题主的大学。

邮箱、手机号、域名注册商通过某总所周知的****查询方法查询就查到了，也是题主主动公开的（该查询方法已和题主沟通不予公开）。

既然手机号有了，那么剩下的注册了什么网游之类的问题也不难了（该查询方法已和题主沟通不予公开）

身份证号码比较隐私，确实可以拿到，获得方法，根据相关法律法规不得传播。

密码需要社工库，或者其他方法，根据相关法律法规不得传播。

后面还有很多内容，根据相关法律法规不得传播。

只能写这么多，不好意思

==================

HTTP 是明文传输没错，但是本回答内容和HTTP完全无关

==================

不过说个题外话，感觉题主好优秀，敏而好学且天赋也高，还是个学霸。

利益无关：财务一枚

既然说 HTTP 是明文传输，为什么没听说哪个著名的网站因为采用 http 协议而暴露了用户的密码？

因为你听说过的事太少了。

比如说一个很厉害的黑客，黑了很多计算机，并且监听这些计算机发出的 http 请求，那岂不是这些计算机的用户大部分网站的账户信息都会被这个黑客掌握？

是。

好巧，看题主也是我电学子，那正好想起一件几年前的事情，不知道题主有没有用过我电 mianliao 的 WiFi 啊？

成都泰聚泰/面聊Wi-Fi网页认证明文信息传输以及网页鸡肋漏洞打包 | wooyun-2015-0105115| WooYun.org

看看你的学号密码在不在里面呀 （滑稽

你没听说的事多了。

谢邀。

这件事，所有关注过wooyun zone的人都应该有话语权。

http网站会被运营商或黑客劫持，植入广告。这都经历过吧。各种可爱的小弹窗。

如果网站是HTTP的，那么用户输入的账号密码呢？运营商的内鬼一样可以出售掉。

这当初在乌云zone曾轰动一时。

因为有人从运营商的内鬼手中购买了所有WEBSHELL特征值的数据包。明白了吧，你拿下的webshell，命令执行漏洞，各种exp说不定已经被别人买走了。

亲身经历一件惨痛的事件。

一个朋友的公司，让我帮忙测安全漏洞，简单扫了一下，发现存在struts2 RCE。中午告知朋友，晚上就被挖矿了。

登录没有采用https，并且明文传输敏感数据的网站，那就是在泄露自己的信息。

好像那篇zone里的文章最后被删掉了。因为触碰了一些人的利益。

害怕ing....

再不济也能用digest auth，或者用类似的方法。

协议本身不提供加密不等于你不能自己做加密。

当时针对cookie盗用和重放攻击也有很多workaround的……

现在来说https提供了防御mitm和重放的一个相当简单无脑的方案，还是恨不错的。

所以现在来说，我们都是做https的。毕竟letsencrypt解决了很大一部分问题了。

▍你知道HTTP访问的交互过程吗？

如题，可能有很多并不了解，本文将简单地介绍一下当你访问某网站时你的电脑与网站之间的数据交互过程。

大家都知道去访问网站都是使用浏览器，在地址栏中输入你想访问的链接，按个回车就能打开相应的网站。然后就可以尽情得浏览网页内容了。

▍那你知道WEB页面如何呈现的吗？

网页内容肯定不会凭空出现，当你在浏览器地址栏中输入URL（链接）时，WEB浏览器会发送相应的WEB请求信息到目标网站（服务器），当目标网站服务器接收到请求时服务器回应相应的内容给你的浏览器（客户端），这样你就看到了网页内容。

不过这只是基本的访问过程。这也是HTTP或HTTPS协议的数据交互的过程，但这个看似非常简单的交互过程中隐藏着很多小交互过程，下面就来一个一个研究一下。

▍HTTP和HTTPS的区别

首先，先来扫个盲，平常我们在浏览网页的时候可有很少关注这个网站是使用什么协议进行交互的，网页数据交互分为两种方式，一种就叫HTTP，别一种叫HTTPS。这两种方式我们都统称是HTTP协议，但却各有技术上的不同点。

一般情况下，如果你访问的网页不需要你登陆或者并没有登陆入口的这种网站通常情况下都会使用HTTP，但这不是绝对的，有些网站可能并不是这样的。那怎么样的网站才叫使用HTTP协议的呢？看下图：

这是一个典型的HTTP协议交互的网站，看图中标识的位置，在地址栏中的最开始位置，有个“不安全”提示，在URL的最前端也没有任何标识。除了这种HTTP协议交互的网站以外呢就是HTTPS交互的网站的，这一类的网站是比较多的。

一般情况下，当这个网站需要登陆或者有登陆入口的，又或者这个网站提供了用户数据的这一类网站通常都是HTTPS的，这类的网站非常多，比如网银，比如邮箱等，又比如拼客学院官网：

看地址栏当中，明显与HTTP协议交互的网站不一样，地址栏位置没有标识不安全，而且在URL的最前面标识了HTTPS://协议，这就是典型的HTTPS。我刚才说只要有登陆入口或者需要登陆网站基本都是用HTTPS，请注意，这不是绝对，你去看看上面4399小游戏那个网站，也是可以登陆的，这个网站可没有使用HTTPS协议哦。

上面介绍了两个协议，那这两个协议仅仅只是URL不一样这么简单吗？答案肯定不是的，我刚才有提到登陆，有登陆一般是HTTPS，没有则一般是HTTP。既然关系到登陆，那就一定跟用户数据有关系，那就需要有安全的保证，从上图HTTP协议的URL中也看到不安全提示，意思也就是没有安全的保证，用户的数据有可能会被窃取，因此，HTTPS是安全的，HTTP则是不安全的。

它们的安全性主要体现在你的电脑（客户端）与目标网站服务器之间，当你去访问网站时，你的登陆信息，你的个人信息是被加密传送的，如果在传送数据中间，有黑客获取了你的数据也不担心，黑客一般无法破解你的信息，这个过程是安全的。而HTTP则不同了，黑客可以不费任何力气地得到你的信息，看下图：

从上图看，黑客在网络中窃取了用户与Web服务器交互的数据，但拿到的信息只是乱码，并不能正常显示，也没办法破解。因此即使用户发送的是用户名密码这样的重要信息也不怕被窃取。

从上图来看，使用HTTP协议来进行传递用户名密码，黑客在网络中获取了交互信息，可以轻松地查看到用户发送的用户名信息，这是一个非常危险的动作，如果你发送的是银行卡账号密码的话后果将会很严重……

从上面两张图的对比不难得出结论，HTTPS是加密的，而HTTP是没有加密的，因此黑客能够直接查看到用户名密码。在实际生活中我们常用的网站基本都是基于HTTPS协议的，大家也不必感到惊慌，日常使用其实还是很安全的。

▍关于加密的问题

01 非对称密钥算法

在HTTPS协议中使用RSA加密算法，这种加密算法是一种非对称加密算法，广泛用于网页加密。

非对称密钥算法会产生公钥和私钥两种密钥，一种用于加密，另一种就用于解密，而且两个密钥是完全不一样完全不可相互推导。公钥是发送给所有人的，而私钥是拥有者自己妥善保管的。

它的工作过程是：用户要把重要的东西加密会用接收者的公钥对数据进行加密，然后将加密后的文件发送到接收端，接收者接收到加密的文件后用自己的私钥对其进行解密就能够得到明文。如下图所示：

明文使用接收方的公钥对其加密就得到密文了，这个过程就是加密的过程，密文在互联网中传递时不用担心被窃取的问题。当密文被传递到接收端，接收方再使用自己的私钥对其解密，这个过程就是解密的过程。

这个方法看似很好用，但实际上并不是这样的，因为像这样的非对称密钥算法只有够加密很小小的数据，超过几百KB的文件都无法加密或加密需要非常长的时间，实际的应用中数据传递可不止区区几百KB这么点，因此非对称密钥算法只能加密密钥等数据非常小的东西，没错，你没看错，就是加密密钥。那实际应用中这么大的数据又是怎么加密的？下面就再来讲讲对称密钥算法。

02 对称密钥算法

对称密钥算法常见的有AES,DES,3DES等，对称密钥算法与非对称密钥算法不同的是对数据进行加密和解密时用同一个密码，这个密码是同计算机随机生成的。对称密钥算法的特点是加密速度很快且加密后的密文数据与原始的明文数据大小相差不会很大，比如加密1K的数据，加密后的密文可能只有1.1K，因此这种加密算法比较适合加密比较大的文件。

客户端在发送数据到服务器端的时候会使用AES等对称密钥算法对需要加密的数据进行加密，加密会产生一个对称密钥的密码，然后再将这个密码用RSA非对称密钥来加密密钥。

为什么要用RSA来加密密钥？很显然嘛，我把数据用一把钥匙加密了，对方想要打开数据就必须要用我这把钥匙才能打开，那我该怎么样把这把钥匙安全的送到对方手上？就是通过RSA来传递。

▍HTTPS是如何完整地并且安全地传递用户数据的

下面就来看看它的加密与解密过程：

1.用户发送请求到服务器，服务器接收到以后回应相应的请求信息（在这个回应信息里面服务器会带上证书和一个服务器的公钥）。

2.客户端拿到证书后会先判断一下这个证书的有效性（其实证书的作用是服务器向你表明身份，让你知道现在回应你WEB信息的正是你要访问的那个服务器）。

3.客户端将要发送的数据先用对称密钥算法对其先加密，产生的密文先放一边。

4.拿刚才加密产生的密文用刚才服务器发送过来的公钥对这个密文加密，产生加密后的密码。

5.把这个加过密的密码与刚才使用对称密钥算法加密后的密文一起打包发给服务器。

6.服务器接收到这些东西以后首先拿出加过密的密码，用自己的私钥对其解密，得出密文，再对这个密文使用对称密钥算法进行解密，这样，服务器就收到了客户端发送的数据了。

过程如下图：

如上加密过程可以保证数据的安全性，这是一个经典的数据加密通信的过程，这种解决方案在很多地方都有用到，不同的仅仅是加密算法的差异。