在反代论坛网站上登录有折扣账号密码的风险吗？

cjf051 · 发表于 2023-3-3 22:54:57

loc.site , loc.me之类的，从技术角度看，能窃取到登录用户的账号密码吗？

G.K.D · 发表于 2023-3-3 23:05:21

我找了下我以前发过的。

太长不看：你与源站之间传输的任何内容，对于反代服务器来说都是明文的。

完整版：

反代网站存在安全风险，因为反代网站并不是单纯的流量转发（中间人攻击原理也是反代）。

即你用钥匙 A 把数据锁在箱子 A 里，然后把箱子 A 给反代服务器，
反代服务器用钥匙 A 打开箱子 A（此时反代服务器能明文看到）把数据拿出来放到另一个箱子 B 里并用钥匙 B 锁上，然后将其发给目标网站，
目标网站收到后用钥匙 B 打开箱子 B 查看数据，处理后再原路返回。

用户 <=加密 A=> 网站
用户 <=加密 A=> 反(明文)代 <=加密 B=> 网站

用户和反代单独用一套公匙和私匙，反代和目标单独用一套公匙和私匙，都是独立的。
企业常用的上网行为管理系统，就是基于这个原理获取 HTTPS 内容的，当然需要在你设备上安装信任自签根证书才行。
因此，访问反代网站可以，但是不要在反代网站上面登录账号或提交敏感信息。

虎谷 · 发表于 2023-3-3 23:00:13

废话，肯定有风险啊

bbblucky · 发表于 2023-3-3 23:52:34

请问反代理本坛com网址，一直出现504错误，是为啥？

乌拉擦 · 发表于 2023-3-4 02:04:15

自己反代一下省心

		自动登录	找回密码
密码			注册