因为cloudflare本质上是http代理,为了根据header实现缓存加速等各种功能,只能在cloudflare上做https解密,明文流量经过cf的处理后再送到后端,所以cloudflare可以看到明文流量
而品葱登录密码也是明文,所以cloudflare可以看到你的品葱登录密码,如果它想的话。
2047的解决办法:
- GPG登陆
- 你的密码在浏览器里hash过一遍才往2047发的,所以cloudflare只能看到一个hash,看不到明文密码。
因为cloudflare本质上是http代理,为了根据header实现缓存加速等各种功能,只能在cloudflare上做https解密,明文流量经过cf的处理后再送到后端,所以cloudflare可以看到明文流量
而品葱登录密码也是明文,所以cloudflare可以看到你的品葱登录密码,如果它想的话。
2047的解决办法:
如果腾讯收购cloudflare,匿名用户(特殊匿名用帐号,超400声望权贵可使用)就变成第一大五毛了
这个是http的情况而不是https的情况吧?https的情况下,你连接品葱,你发给品葱的信息,是用品葱的公钥和你的私钥加密的。cloudflare没有品葱的私钥,所以没法解密你发给品葱的信息,就不能MITM Attack了。
发一个更正:品葱现在的密码,是在浏览器端先用bcrypt hash一遍,再发到服务器端的,所以cloudflare是看不到密码明文的。