→ qa17b: 想要做出不會被攔截的加密系統基本上不可能啦,頂多延長破 09/27 00:24
→ qa17b: 解時間或降低風險而已 09/27 00:24
→ AndCycle: 你都用fiddler了, 設定流程就打金鑰進去了 ... 09/27 00:57
→ ssccg: 你用fiddler就是你自己MITM自己啊... 09/27 04:43
→ ssccg: https正確使用是沒問題的 09/27 04:44
→ ssccg: 另外你所謂銀行密碼是加密後的,我猜大概是hash 09/27 04:47
→ ssccg: 單純的client side hash其實是沒意義的 09/27 04:48
→ vi000246: 原來如此 我再查查MITM相關的資料好了 09/27 12:25
→ vi000246: 不太懂fiddler解密https的原理 09/27 12:25
→ ssccg: 就是fiddler偽冒你連的網站,你建立的https連線是連fiddler 09/27 12:40
→ ssccg: server端當然就解密內容了,fiddler再跟真的網站建https 09/27 12:40
→ vi000246: 大致了解了 感謝s大的說明 09/27 17:24
推 oToToT: 你撈自己的封包本來就撈的到key吧 09/27 17:34
推 Hevak: 之前看過銀聯的前端程式碼,他送出去的密碼會另外再用一把 09/27 21:10
→ Hevak: 金鑰(應該是公鑰)算過才寫回去input欄位 09/27 21:11
→ Hevak: 不過我看過的不夠多,不是很確定這樣做法常見不常見 09/27 21:11
→ vi000246: 這好像是RSA加密 09/27 21:46
→ ssccg: 用了https再多做一個加密是完全沒意義的.. 09/27 21:47
→ ssccg: 除非說連線server不是他自己家的(像CDN),要再多做一層end 09/27 21:50
→ ssccg: to end加密到後端驗證server的 09/27 21:50