我的 ISP 是否可以看到我在网站和聊天程序中输入的密码?对于以 https 开头的 SSL 网站,它们是否会在到达 ISP 之前加密我的用户名和密码?
答案1
如果你从某个https://地址开始,那么你的计算机和远程服务器之间的所有内容都会被加密,因此你的 ISP 无法拦截你的任何数据† *。但是,你的 ISP 可以轻松查看任何非 SSL ( http://) 连接。
请注意火羊去年,firefox 插件暴露了此机制的一个漏洞。许多网站仅在您首次登录时使用 https,然后在其余流量中切换回 http。在这种情况下,您的 ISP 可以在您登录后拦截您的流量。您本地网络上的其他人也可以运行 firesheep 插件并劫持您与 facebook 的会话并冒充您。
现在,大多数大型网站都在向 https 过渡以修复此漏洞。对于家庭网络,您其实不必太担心,但您应该了解其工作原理。
†假设您没有忽略证书警告,并且您的计算机/浏览器没有受到损害。
*它还可以看到您从可能共享的主机请求的主机名。自 TLS1.0 以来,主机名以纯文本 (SNI) 传输
答案2
答案3
Philiph 是对的为了 ”如果你从一个地址开始https://,你的计算机和远程服务器之间的所有内容都会被加密“但有一个警告:HTTPS 的用途是加密您的计算机和某处别的。
存在这样的风险:你的通信可能会被 ISP 使用以下方式篡改:中间人攻击— 如果你认为这不可能发生,请参阅新闻关于突尼斯的情况,表明了如果恶意代理在 ISP 级别具有访问权限,将会发生什么情况。
只有在以下情况下才能避免这种情况:
- 用户始终使用正确的
https://URL。 - 用户不会忽略证书警告。
- 用户 100% 确信他们的计算机没有被篡改。
否则,ISP 可能会以不懂技术的用户无法察觉的方式篡改连接。
答案4
这不是直接回答您的问题,但密码被盗取的次数更多,要么是使用键盘记录器(非法安装在您的 PC 上记录所有击键的软件),要么是使用社交工程,例如网络钓鱼。(网络钓鱼是发送电子邮件,诱骗您登录 Facebook 或其他网站的“假冒版本”,从而向网络钓鱼者透露您的密码,然后将您重定向到真正的网站。大多数受害者一开始甚至没有意识到发生了什么。)