登陆非https登录页面，但login form Post操作是https

Question

如果用户登陆到非https登录页面上。当用户登录时，该操作将指向https url。我的问题是-用户信息加密了吗？有没有办法嗅探和获取用户的信息？

登录页面上的用户->路由器/internet(信息未加密)(同一网络上的用户可以获取您的信息) -> https://url (信息加密)

谢谢!

Answer 1

这是不安全的，因为攻击者可以执行中间人攻击，并将未加密页面上的POST目标URL更改为攻击者站点，保存用户名和密码，然后重定向到原始的加密页面。

受害者甚至没有机会注意到有什么不对劲。

所以:永远不要这样做。