首页 新闻 会员 周边

新浪微博是如何防止登录账户密码被截获的

0
悬赏园豆:60 [已解决问题] 解决于 2012-01-31 10:41

最近使用fiddler,发现知乎、博客园等不使用https的,只要你正常登录,表单(账户密码)都会暴露在fiddler的 webforms tab里。

其他google,qq使用了https登录的,看上去很安全,对于fiddler抓https实在不熟。

weibo正好不使用https,想如法炮制一下,却发现经过层层跳转,已经没有表单的影子了。

问题就是,这算神马原理。

xu_java的主页 xu_java | 初学一级 | 园豆:21
提问于:2012-01-19 17:27
< >
分享
最佳答案
1

收获园豆:60
喵喵喵猫 | 小虾三级 |园豆:1742 | 2012-01-28 16:41

喵喵喵猫 | 园豆:1742 (小虾三级) | 2012-01-28 16:56

@芬达: 

喵喵喵猫 | 园豆:1742 (小虾三级) | 2012-01-28 16:57

@芬达: 

喵喵喵猫 | 园豆:1742 (小虾三级) | 2012-01-28 16:57

@芬达: 可通过快捷键F11查看方法详细代码,快捷键同vs

喵喵喵猫 | 园豆:1742 (小虾三级) | 2012-01-28 16:58
其他回答(6)
1

新浪微博使用的应该是OAuth 2.0   传递的密码是经过了两次sha1并且混合了服务器随机数和时间的,登录之后每次身份判断靠服务器发来的token。

锦燕云 | 园豆:205 (菜鸟二级) | 2012-01-20 10:15

我的问题没有涉及到OAuth,就是普通的页面登陆,用fiddler抓取表单。OAuth用微博账号登陆其他网站,输入的邮箱密码都是能被fiddler抓到的。

支持(0) 反对(0) xu_java | 园豆:21 (初学一级) | 2012-01-20 16:24

@xu_java: 因为在登录页面用JS做了加密了啊,加密方法就是我上面说的。

支持(0) 反对(0) 锦燕云 | 园豆:205 (菜鸟二级) | 2012-01-21 09:27
0

加密了吧,具体怎么加密,看js把,不过js应该也加密了..

具体的js用fiddler2可以找到

iVechan | 园豆:351 (菜鸟二级) | 2012-01-20 19:46
0

首先肯定的一点是数据是在本地被加密再传输的,firebug+chrome ,只要知道原理即可,如果是想通过这个获取密码这个是不可能的,因为基本都是用不可逆向加密方式,对密码以及一些标志进行二次MD5或者sha1。

你可以研究迅雷vip那个登陆先

大烧饼的实验室 | 园豆:265 (菜鸟二级) | 2012-01-23 13:43
0

关注下

冯岩 | 园豆:221 (菜鸟二级) | 2012-01-24 20:23
0

没有研究过新浪微博的,不过原理大概就是在客户端先JS加密过,然后把加密后的密文发送给服务器,所以截取的数据并没有多大用处

我见过一种做法,浏览器向服务器发送的数据是 pid=用户名&token=md5(md5(密码)+验证码),然后服务器端用一样的算法去验证是否合法,之所以两次md5,是因为服务器上只有md5过的密码,所以服务器上判断是 pid=用户名 and md5(密文密码+验证码),加上验证码可以更安全,相当于一个salt

好像web qq是这么做的

丁学 | 园豆:18730 (专家六级) | 2012-01-25 22:35
0

苏宁易购的  JS加密 大神知道吗?能讲下吗?

胖多多 | 园豆:12 (初学一级) | 2017-03-24 23:45
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册