为什么密码明文传输

一个字——懒！

看了验证用户密码这件事，然后无聊就抓了的数据包，然后发现居然是明文的？

Web

然后觉得，一般电脑应该还好，不会随便链接别人的WiFi，但是手机就不一样了，在外面无论是公共的还是各种餐厅的WIFI，手机肯定经常回去连接，于是我就想试试手机客户端是否也是明文传输的。

Wireshark功能比较强大，可以选择网络，于是打开WiFi，让手机连上，Wireshark中设置捕获WIFi的网络的数据包，于是就开始抓手机端的数据包，但是Wireshark有个缺点是信息显示太不明显，小白我实在是找的辛苦。于是换了Fiddle，不用选择网络只需要在连接设置中勾选远程可连接，端口为8888，然后在手机端连接上的

WIFI中设置代理为对应的IP和PORT，然后就开始了手机端的抓包之旅。

Android客户端

Android客户端

探探

探探Android客户端

格瓦拉

格瓦拉Android客户端

豆瓣

前面的几个用户群体不是特别大，但是豆瓣这么多年了，也是明文让我表示百思不得其解，不过抓豆瓣FM的时候发现不是明文，于是我就困了=_=

豆瓣Android客户端

由于开了代理，部分APP知乎，有道，网易云音乐，花瓣，为知等直接无法登录，这可能也是一种避免被抓包的措施吧。还有一些是通过第三方登录的方式，这确实是一个避免安全问题的好办法，把安全问题都交给大公司去处理。至于BAT的应用，没去测，经常被人盯着的，所以安全性都会做的比较好。

Web端

为知web

为知web

花瓣web

花瓣web

不抓不知道，一抓吓一跳。搜了搜，发现知乎上一篇文章国内大多数网站的密码在 post 传输过程中都是明文的，这正常吗？

要么认为小众网站没必要纯属扯淡，有人会每个网站设置一个密码？貌似还真有，之前遇到一个妹子，每注册一个网站一个密码，密码多得自己都记不过来，每次要用的时候都不记得密码。但这只是极少的一部分，大部分人会设置相同的密码，你的所谓小众给别人带来了安全隐患。

要么只保证服务器端的安全，在到达服务器之前用户自己负责这是什么SX逻辑就不懂了，网站登录端不是你做的？纯属推卸责任

懒这才是真的原因

但愿国内早日改善这种情况吧！
周末开个WiFi，免密码，抓上几天的包，然后分析，或许你会发现更多……

最后推荐两篇好文章：
http://zhuoqiang.me/password-storage-and-python-example.html
http://www.jianshu.com/p/0d2f68b84be0

醒来就在玩这个，玩了一天。最后发现啪啪啪的打了自己的脸，我们也该改了……