私たちがGmailのようなウェブサイトにログインするとき、私たちはパスワードを与えます。Now GmailはHttpsのウェブサイトなので、通過中に中間の攻撃でパスワードをManで盗聴することはできません。 MITMの場合、パスワードは平文で表示されます。ログイン中のパスワードの暗号化
ログイン中にパスワードを暗号化するメカニズムがあります。つまり、SSL MITMの後でも、攻撃者は暗号化されたパスワードのみを取得します。
これはjavascriptsを使用するクライアント側の機能でしょうか?
しかし、クライアントはスクリプトを防止または変更することもできます。
他の方法がありますか?
銀行サイトでこのような保護機能を使用していますか? SSLに完全に依存していますか? –
パスワードの送信まではSSLだけです。 – Sam
それに加えて、銀行は3段階のログインプロセスを使用します: 1)ログイン名を送信してください。銀行は3つのセキュリティに関する質問に答えます。 2)セキュリティに関する質問にお答えします。銀行は、パスワードフィールドと、アカウントの設定時にユーザーが選択した画像を応答します。 3)画像が予定されている画像の場合は、パスワードを送信します。 一部の銀行では、手順2をスキップしたコンピュータを「登録」します。ただし、すべてのデータ送信はSSLで保護されています。希望が助けてくれる! – Sam