如果通过 HTTP（不安全）传输 HTTP 请求标头，第三方如何读取这些标头？

Question

我的问题是关于网络的。我只是在寻找一个简单的答案，但经过 1 小时的研究却找不到。我知道有 Wi-Fi 热点、中间人攻击、本地网络、回声开关等技术。但我找不到具体问题的答案。 假设客户端 A 想与服务器 B 通信，而服务器 B 说客户端 A 必须首先通过 HTTP 基本身份验证对自己进行身份验证。我的问题是，如果客户端 A 通过 HTTP 层（不安全）发送身份验证凭据会发生什么情况，谁可以读取客户端 A 通过 Internet 发送到服务器 B 的 HTTP 标头？这样做容易吗？就像在两个任意路由器之间放置一个断点，这有助于通过互联网传输数据包，以便读取这些标头？它一般是如何工作的？

谢谢！

PS.：我不是想学习和去做。我只想知道，如果 HTTP 基本身份验证是通过不安全的 HTTP 层进行的，那会有多危险。

Answer 1

谁可以读取客户端 A 发送到服务器 B 的 HTTP 标头 互联网？

• 您的网络提供商（例如 Wi-fi 热点提供商）。
• 您的域名系统服务器（DNS，如 192.168.1.1）。
• 您的互联网服务提供商 (ISP)。
• 如果使用一台（VPN 服务器），您的虚拟专用网络。
• 你自己或病毒。

来了 HTTPS（HTTP + SSL 加密）
SSL 是关于使用您和服务器 的语言进行通信只有了解。

如果通过不安全的 HTTP 层进行 HTTP 基本身份验证会有多危险？

好吧，从上面看，如果通信是在普通的 HTTP 套接字中完成的，你完全可以得到一个简单的病毒甚至公共 Wi-fi 热点设备可以捕获并查看你的所有数据.

一个简单的数据包可能包含所有您的设备信息，包括其基本内容，如您的密码、信用卡信息、您刚刚完成的注册/登录的 HTML 表单及其所有数据，正在发送到服务器的 VoIP 呼叫和消息 + 即将到来的/已接收的。

这就是为什么我们需要 SSL 加密并且服务器也应该有一个有效的 SSL 证书。

---

顺便说一句，您现在阅读本文时，您的设备可能已经发送了数千个数据包！

捕获您的设备发送的数据包，甚至您网络上其他设备发送的数据包，可以通过任何数据包捕获工具或软件来完成，例如 Wireshark。