其中一位客户报告说,他们可以看到密码以明文形式传输,他们可能尝试了像小提琴手一样的工具来捕获HTTP请求/响应。所以我的问题是,有可能使用fiddler或任何其他工具吗?有人可能在用户输入密码并点击登录时监控本地计算机上的http流量吗?
如果用户在不使用SSL的情况下访问网站(即通过转到"http://"而不是"https://"),则可以看到网站和浏览器之间的所有流量,不仅可以在本地计算机上,还可以在计算机连接的网络上。
如果用户通过HTTPS访问网站,Fiddler可以充当代理,使用特殊的SSL证书解密浏览器和服务器之间的流量(感谢@user18044在下面的评论中澄清)。
在您的情况下,Fiddler没有直接访问浏览器内存以获取明文密码。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium