假设我们先不讨论HTTPS加解密问题,仅讨论HTTP的情况
那么此时传输的数据,中间人可以随意修改的!此时仅需将浏览器发送给节点的请求中的几个站点的用户权限验证TOKEN替换即可(大致如此)
至于HTTPS的问题,不是需要安装证书吗,安装证书后就可以对HTTPS流量进行中间人攻击了(针对浏览器这里可以,但是如果是客户端版本可能不行,因为客户端可能会客户端直接写死证书。直接不关心你系统信任了什么证书!)
但是速蛙这么做以后,其实对用户的安全有很大的影响~
本来普通用户使用做别人开的飞飞机站的飞机,HTTPS流量还是安全的(仅能看到Host和端口)
一旦客户端安装了他的证书以后,,,,你的所有https流量都可以解密了(当然应该也是看这个证书针对的域名吧,如果这个证书仅针对这几个域名那倒也无所谓,但是假设是所有的,那么,,,,,就不存在安全了,完全是裸奔)连你登录一个网站的账号密码都能看到(假设这个网站前端没有对账号和密码进行加密传输,但是其实即使加密传输也没用,前端加密都是js完成的,去查一下代码就能解出来)
这个技术在这个场景其实还是不错的,只要不是针对所有域名(仅针对解锁的几个网站的域名的话)
但是还是要告诫一下,如果自动不懂其原理,确定其风险,尽量不要在自己设备上安装别人提供的证书
大佬能不能做个简易版 给我们学习下
我可以提供会员账号等信息
写的不错帮顶
应该可以顺手解析各种密码密钥cookie?
看证书
本文地址:http://demo.rezhanwang.com/zhujiyunwei/1804.html