登录密码与HTTP Request

我们知道，在一些主流的浏览器中按F12，就会拉出一个查看web访问详细信息的窗口，在firefox中叫firebug，在chrome或者IE中，则叫developer tools，他们功能都大同小异，当然，比较重要的自然是查看http request与response， 幸运的是，这三个工具都把其放在一个叫Network的tab下面，虽然显示格式略有不同，但基本信息都是一样的。

当我们通过一个form提交信息的时候，如果是GET方式，form中的信息会以参数的形式附加在URL后面；如果是POST的方式，则包在request的body中，但不论是那种方式，form中的信息，都会在http request中，而且可以用上面提到的工具查看到：如果这个form恰好是个登陆框，或者是支付框，那么你的用户名与密码自然也会出现在request中。

就此，我针对三类网站做了实验：

1. 普通非加密网站：博客园(http://passport.cnblogs.com/login.aspx)
无任何加密，密码自然如愿以明文方式显示在http request中:(chrome)

tbUserName:test
tbPassword:test
btnLogin:登 录
txtReturnUrl:http://home.cnblogs.com/

（原来的douban的例子是错的，其登录页面是https的）

2. https加密网站：GitHub(https://github.com/lzprgmr) + Google(http://www.google.com.hk/)

虽然这两个网站使用了https加密，但我们捕捉到的request，还是包含了密码明文：

Form Data: authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in

原因在与https（ssl）的加密是发生在Application layer与Transportation layer之间，所以，在传输层看到的数据才是经过加密的，而我们捕捉到的http request的，自然是应用层的，是还没经过加密的数据。

3. 带安全控件的支付类网站：支付宝（https://auth.alipay.com/login/index.htm）

支付宝自然是https的，但是他的同时也增加了安全控件来保护密码， 以前认为这个只是用来防键盘监听的，其实，看下面http request截获的密码：这个安全控件把给request的密码也先加了密，紧接着https再加次密，果然是和钱打交道的，安全级别高多了:)

Form Data: logonId:test@gmail.com password:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==