在多數人看來， https是安全的， 因為https和secure http嘛， 真的是這樣嗎？

        一些人認為， https是加密傳輸， 所以抓到包也沒有用， 是密文的。 真是的這樣嗎？ 我今天無意抓到了某網站登入的密碼， 是明文的， 有點吃驚， 結果上網查了一下， 發現還是有不少網站在用https傳明文密碼。

        下面， 我們以知乎的登入過程來看看，輸入密碼後， fiddler抓包如下：

        居然是明文密碼！！！

        現在你要問， 為什麼用https抓包, 還是能看到明文內容呢？ 這裡我們要理解https的棧流程， 梳理一下就知道， 加密層位於http層和tcp層之間， 所以抓到的http層的資料並沒有加密。 同理， 在後臺接收端， 經歷解密後， 到達http層的資料也是明文。 要注意， https不是對http報文進行加密， 而是對業務資料進行加密， 然後用http傳輸。 

        我斗膽， 知乎不敢在後臺存使用者的明文密碼。 而註冊過程和登入的過程， 知乎後臺是能拿到使用者密碼的， 所以說， 知乎的後臺開發同學， 仍然有機會接觸到使用者的文明密碼， 這是很危險的啊。 怎麼讓使用者放心呢？ 另外， 客戶端能抓到明文， 壞人很容易植入木馬， 獲取到登入的密碼， 所以， 用https傳輸密碼， 也是不安全的。

        另外一個某網站（在此， 我不點名）居然也是用https傳輸明文， 呵呵噠。 本來， 用雜湊加鹽就能解決問題。

        我們來看下支付寶， 大家猜猜結果， 如果支付寶也是這樣， 估計阿里就不是阿里了， 來抓包看看：

        可見， 支付寶是對明文密碼進行了處理， 然後用https傳輸的。 這是預期中的， 也是應該的。給個贊。

        我又試了某知名網站（在此， 我不點名）， 發現也是非明文密碼， 且用https傳輸， 贊一個。

        不多說。