擔(dān)心會(huì)不會(huì)明文存儲(chǔ)我的密碼啊

不會(huì)明文存，我要你密碼也沒(méi)用。

開(kāi)什么玩笑，站長(zhǎng)要你的數(shù)據(jù)還需要密碼？你也是開(kāi)發(fā)不會(huì)這么天真吧~

你才天真，我不是懷疑站長(zhǎng)的人品，我只是說(shuō)這樣理論上存在不安全的問(wèn)題，我的賬號(hào)是郵箱，我的密碼直接明文通過(guò)http請(qǐng)求發(fā)送到服務(wù)器，這不是安全的做法吧，總讓人感覺(jué)不專業(yè)。

用戶名和密碼都是ssl加密傳輸?shù)?，怎么就明文傳輸了?/p>

如果連接的是別人的網(wǎng)絡(luò)，別人通過(guò)代理的方式是能拿到https的數(shù)據(jù)，他應(yīng)該是擔(dān)心這一點(diǎn)把，別亂連別人的網(wǎng)絡(luò)和別安裝別人的證書(shū)就行了。

鏈接別人的網(wǎng)絡(luò)，請(qǐng)求包被劫持拿到的也是ssl加密的數(shù)據(jù)，別安裝別人的證書(shū)倒是關(guān)鍵

誘導(dǎo)用戶安裝偽造的證書(shū)成功率基本為零，瀏覽器會(huì)飄紅警告的，根本用不了

題主說(shuō)是明文傳輸，實(shí)際上是加密的，題主可能不太懂

瀏覽器飄紅警告，但還是能用的，點(diǎn)擊無(wú)視風(fēng)險(xiǎn)繼續(xù)訪問(wèn)就可以了，這種就不用安裝證書(shū)，也能正常訪問(wèn)的，也算是特殊情況下的風(fēng)險(xiǎn)吧。

我說(shuō)的不是傳輸過(guò)程中的問(wèn)題

另外補(bǔ)充一點(diǎn)：現(xiàn)在的瀏覽器基本上有生成隨機(jī)密碼的功能，在注冊(cè)的時(shí)候直接隨機(jī)生成就行，每個(gè)網(wǎng)站的密碼都不一樣，這樣子就不用擔(dān)心密碼泄露被人拿去撞庫(kù)了。

我說(shuō)的是一個(gè)專業(yè)的問(wèn)題，專業(yè)的網(wǎng)站應(yīng)該有最基本的安全常識(shí)。如果有面試官問(wèn)你如何保證用戶信息的安全性，你說(shuō)如果用戶不信任這個(gè)站，就別用這個(gè)站。你不感覺(jué)很無(wú)厘頭嗎？

另外你說(shuō)的每個(gè)網(wǎng)站的密碼都不一樣，現(xiàn)在這么多系統(tǒng)，你每個(gè)網(wǎng)站都用一個(gè)密碼，你記性這么好嗎？

1. 你和你們公司在 WEB 開(kāi)發(fā)和信安領(lǐng)域 比 GitHub 還專業(yè)？
2. 瀏覽器不能自動(dòng)保存密碼？

用KeePass, 1Password,BitWarden之流,只需記住一個(gè)密碼

你看他的回復(fù)，他是擔(dān)心服務(wù)器后端的密碼是明文儲(chǔ)存的。就是說(shuō)擔(dān)心的是數(shù)據(jù)表中存的是明文密碼，而不是密碼的哈?；蚱渌幚砗蟮淖址?。
其實(shí)我感覺(jué)沒(méi)必要糾結(jié)太多，直接自動(dòng)保存的密碼就得了。

他根本就沒(méi)搞清楚ssl傳輸和瀏覽器控制臺(tái)看到的“明文”之間的區(qū)別，所謂的"明文"也僅僅是在瀏覽器層面，你中木馬了怎么加密都沒(méi)用，如果請(qǐng)求被劫持?jǐn)r截，看到的也是ssl加密的

樓主糾結(jié)的好像不是明文傳輸?shù)膯?wèn)題，可能他在輸入密碼時(shí)，因?yàn)槟苤庇^的看到未加密的密碼，加上他在其它站點(diǎn)可能都是用的同一個(gè)密碼，從安全角度,這會(huì)讓他(或者一些不太懂的使用者)感覺(jué)到不安。密碼加密，從感官上來(lái)說(shuō)，'顯得'更專業(yè)。

我感覺(jué)他的意思是不應(yīng)該讓后端拿到我輸入的密碼，而應(yīng)該直接拿到md5或hash以后的字符串。（說(shuō)白了是在信任鏈中的服務(wù)器能拿到明文秘鑰的的不信任。

我不知道你有什么可笑的，我一直強(qiáng)調(diào)我說(shuō)的不是傳輸過(guò)程中的問(wèn)題，你怎么就看不懂呢？就一直往 https 上去扯？https 不是傳輸過(guò)程中的事兒？

就算你不是說(shuō)https的事情
世界上國(guó)際大站明文傳輸密碼的多如牛毛，其中不乏google facebook 你卻在這里雞蛋挑骨頭
你還說(shuō)不是懷疑站長(zhǎng)的人品。那么我都不知道你發(fā)文的目的究竟是為何。

三級(jí)等保要求