※ 引述《tzujan (無)》之銘言:
基本上你對於明碼傳輸 (明文傳輸) 的認知是錯誤的。
明文傳輸指的是,你使用的協定沒有做加密
讓第三者竊聽後可以直接看到資料來:
客戶 -> 網路線路 -> 伺服器
|
--> Bob
假設 Bob 在途中獲得了你的封包,如果是明文的,
他就能夠直接得到裏面的資料 (對,就是你的信用卡資料)
封包 -> {"cvv": "123", "nameOfCard": "null", ...}
但是如果是加密過的,他還是可以拿到你的封包,
但是因為加密的關係,他沒有辦法解出明文來:
封包 -> \x00\x11\x019\xav\xb1\x19\x19\x11....
因為加密的關係,讓只有 key 的人才有辦法解出來,也就是伺服器:
封包 -> 正確的 key -> {"cvv": "123", "nameOfCard": "null"...}
只要他設定是正確的,基本上 https 傳輸上不會出事。
: 買機票買到快腦溢血
: 到最後一關刷卡一直當
: 按F12看console
: 把整個信用卡的資料全部印出來
: 包括cvc
長這樣吧?
http://i.imgur.com/r88kNpP.png
左邊 4 個紅色 payment 代表嘗試連線請款了 4 次。
如果不懂資安,請至少看一個地方再來說嘴:
General -> Request URL 的部份,前面是不是 https,
虎航長這個樣子:
https://tiger-wkgk.matchbyte.net/wkapi/v1.0/payment
^^^^^^^^
基本上代表,你這包就算被攔截到了,別人也解不開。
: 如果他丟的資料是那一整包了話
是,丟一整包過去,包含你所有的資料。
accountNumber, cvv, dccAccepted, expiryMonth, expiryYear, nameOnCard.
沒有這些資料要怎麼請款啊啊啊啊啊啊啊。
: 沒有安全問題嗎???
這部份沒有。
: 好怕被盜刷
盜刷有什麼好怕的 = =?
: -----
: Sent from JPTT on my Asus ASUS_Z01HDA.
下次要找,請特別注意找這種的,台灣企業很會:
https://goo.gl/WnSouD
明碼把資料存在 javascript 裏面。
這才會有資安問題。
--
基本上你對於明碼傳輸 (明文傳輸) 的認知是錯誤的。
明文傳輸指的是,你使用的協定沒有做加密
讓第三者竊聽後可以直接看到資料來:
客戶 -> 網路線路 -> 伺服器
|
--> Bob
假設 Bob 在途中獲得了你的封包,如果是明文的,
他就能夠直接得到裏面的資料 (對,就是你的信用卡資料)
封包 -> {"cvv": "123", "nameOfCard": "null", ...}
但是如果是加密過的,他還是可以拿到你的封包,
但是因為加密的關係,他沒有辦法解出明文來:
封包 -> \x00\x11\x019\xav\xb1\x19\x19\x11....
因為加密的關係,讓只有 key 的人才有辦法解出來,也就是伺服器:
封包 -> 正確的 key -> {"cvv": "123", "nameOfCard": "null"...}
只要他設定是正確的,基本上 https 傳輸上不會出事。
: 買機票買到快腦溢血
: 到最後一關刷卡一直當
: 按F12看console
: 把整個信用卡的資料全部印出來
: 包括cvc
長這樣吧?
http://i.imgur.com/r88kNpP.png
左邊 4 個紅色 payment 代表嘗試連線請款了 4 次。
如果不懂資安,請至少看一個地方再來說嘴:
General -> Request URL 的部份,前面是不是 https,
虎航長這個樣子:
https://tiger-wkgk.matchbyte.net/wkapi/v1.0/payment
^^^^^^^^
基本上代表,你這包就算被攔截到了,別人也解不開。
: 如果他丟的資料是那一整包了話
是,丟一整包過去,包含你所有的資料。
accountNumber, cvv, dccAccepted, expiryMonth, expiryYear, nameOnCard.
沒有這些資料要怎麼請款啊啊啊啊啊啊啊。
: 沒有安全問題嗎???
這部份沒有。
: 好怕被盜刷
盜刷有什麼好怕的 = =?
: -----
: Sent from JPTT on my Asus ASUS_Z01HDA.
下次要找,請特別注意找這種的,台灣企業很會:
https://goo.gl/WnSouD
明碼把資料存在 javascript 裏面。
這才會有資安問題。
--
All Comments