Я включил SSL, и я делаю почтовый запрос jQuery AJAX и отправляю некоторые поля на сервер.
Когда я смотрю на почтовый запрос AJAX через firebug под параметрами сообщения, я вижу все поля в виде открытого текста.
Это означает, что я могу видеть пароли в открытом виде. Это нормально? Я также смотрю на это с помощью скрипача, и он даже не регистрирует этот запрос AJAX (так что запрос никогда не был сделан).
Так это только потому, что firebug установлен в браузере и может его захватить или что?
ssl обеспечивает безопасность при перемещении данных из браузера на веб-сервер. Firebug — это плагин для браузера, он знает все в дереве DOM. Я думаю, что для Firebug имеет смысл отображать поля ввода и данные формы.
Да, вы можете видеть данные поля, потому что FireBug перехватывает запросы внутри Firefox до того, как они будут зашифрованы. Если вы проверите реальный сетевой трафик с помощью анализатора протоколов, такого как Wireshark, вы увидите, что он зашифрован.
Навскидку я бы подумал, что Firebug показывает вам именно то, что отправляется. В противном случае это означало бы, что он каким-то образом расшифровывает закодированную информацию.
Если вы действительно хотите убедиться в этом, используйте инструмент, который может перехватывать веб-трафик вне браузера. Например, tcpdump.
«Значит, это означает, что я могу видеть пароли в открытом виде. Это нормально?»
Ага. Данные хранятся в вашем браузере, то есть в пользовательском агенте, и перехватываются до того, как они передаются на сервер. Любая операция шифрования уязвима для перехвата в точке, в которой значение входит в закрытую систему. Вот почему, если ваша машина скомпрометирована (скажем, вредоносным ПО), мало что поможет.
