只要用了HTTPS，密码明文传输也没有关系吗？

Question

刚才一时兴起，登录 segmentfault 时 F12 打开浏览器控制台看了一下，密码竟然是明文传输，感觉不能理解...

Answer 1

你的客户端和服务器建立的是一个受信任的链接，在建立TCP链接后，客户端和服务端就会初始化SSL层，对加密参数进行沟通，并交换密钥。之后双方可以进行通行了。所以https的请求，双方的客户端和服务端是知道密钥的，所以可以对内容进行加解密，但是传输过程中，第三方不知道密钥，所以截取到了也解密不了。

但是但是但是，如果你曾经用fiddler或者charles调试，替换过线上代码，那你就会了解到一个叫中间人攻击的东西，这个技术可以伪装成客户端和服务器进行通信，以盗取通信的内容（具体不展开了，搜索下，图文并茂的文章很多的）。比如你用了一个不安全的Wi-Fi什么的，就会有这个风险。所以，密码之类的，尤其设计到钱的，还是另外加密下吧。

Answer 2

是的，因为是你自己发出的所以才看到的是明文，别人发出的，你抓到的是密文