sina邮箱的密码是明文传送的

langue

翻来翻去，似乎只有 Google 和 Microsoft 这样的提供商是强制进入 https 再验证身份的。
账号密码在用 TLS 加密的情况下可以考虑直接传送，这没有什么问题。
国内的邮箱几乎没有提供可以信赖的安全措施，只要取消勾选“增强安全性”就是明文传送了，加密在这里形同虚设。

yecheng_110

网络就是建立在不安全的机制上的
安全性都是后来加上的

unistd

任何安全措施都防范不了抓包。
就算你加密密码，那我抓包抓到了你的密文，把这个密文按照原样发送给服务器，不是照样能通过验证吗？

noword2k

任何安全措施都防范不了抓包。
就算你加密密码，那我抓包抓到了你的密文，把这个密文按照原样发送给服务器 ...
unistd 发表于 2010-09-19 08:53

    你可以试试，成功了，我请你吃饭。

luckydone

任何安全措施都防范不了抓包。
就算你加密密码，那我抓包抓到了你的密文，把这个密文按照原样发送给服务器 ...
unistd 发表于 2010-09-19 08:53

    听起来是这样，那就是静态加密。如果动态呢？

starzhestarzhe

要说的那么容易的话，哥早就被国安局招了

langue

回复 15# luckydone

跟动态静态没关系，他大概忘了安全这块还有 anti-replay protection 这一说。

無名妙音

任何安全措施都防范不了抓包。
就算你加密密码，那我抓包抓到了你的密文，把这个密文按照原样发送给服务器 ...
unistd 发表于 2010-09-19 08:53

    你这种简单的攻击都不能承受，ssl/tls还有什么用？

linuxdeve

呃，这个没试过，按楼主的方法去瞧一下。。。

ccnuliu

为什么不加密之后再传输呢？