低级问题。 糊弄外行，不管http还是https 如果需要敏感参数，都是经过加密处理，最入门的是 比如传递的密码是md5或者自有算法，在服务器端数据库进行解码和比对。 至于这个算法看各公司的技术水平了

如果密码加密后使用http传输不能直接截获明文密码,但是你别忘了,https里的ssl的作用不只是加密,还有防篡改和保证网站的真实性的作用。如果你在地址栏输入网址时没有手动在网址前加https:// 那么攻击者就可以伪造你想要访问的网站,或者篡改真正的网页,往网页里加入恶意代码,那么你输入的密码就会被轻易窃取

这个问题似乎已经有了很多人回答了，但是好像他们都没回答对题点！

关于HTTP明文传输的缺点，以及它导致用户密码泄露的原理的解说，请大家移步本问题下的其它回答，它们都回答得很完善了，不需要再补充。

题主问是的：为什么没听说过……？

原因一：你听说过的事情太少了。

就像很少有人听说过“慢阻肺”这种疾病，但是它却是世界第四大致死原因；

原因二：因为用HTTP协议来传输用户密码，是太过于低级的安全漏洞。

往往是许多网站被黑客攻击的若干漏洞中比较基础的漏洞。这就好像是一家银行金库被窃，其中有若干个问题，但一般只会强调窃贼采用高效炸药、高端工具，而却会较少提及金库巡查人员懒惰的问题；

原因三：往往只有大公司出的问题才容易会受到关注。

首先可以明确一点的是，HTTP协议下数据传输都是明文传输的，如果请求被截获了那完全可以盗用和篡改数据发出伪造请求。

HTTP协议是不安全的

HTTP协议一方面在数据传输过程中是明文传输的，另一方面也缺乏有效机制检查客户端与服务器端的连接是否是可靠的，所以安全性很低。

为什么很少听说使用HTTP协议暴露了用户的密码？

这里只是说很少听说使用HTTP协议暴露了用户信息，但并不是代表没有！在HTTP协议下要窃取用户数据需要满足一定条件：

1、首先要截获到用户的请求

一般在家庭和办公网络基本上没有人截取你的网络请求，但一些公共WiFi就存在这方面的风险，你的电脑手机通过公共WiFi进行网络连接，攻击者控制了路由就可以监听你的网络请求（类似于本地抓包），请求数据直接暴露在攻击者面前。

2、密码必须是未加密的

很多大型网站都有自己的安全团队，在HTTP协议下用户输入密码时，在提交表单之前会对密码进行加密的（每次加密的密文都不一样），这样传到服务器端的密码是加密过的，即使攻击者截获了你的请求看到的密码也是加密后的密码，而且此密码攻击者拿过去也无法通过服务器端验证。

细心的朋友会发现某些站点输入密码后，提交表单时密码框里的密码感觉一下子变多了。

对于一些小型网站，这种漏洞都是存在的。

以上就是我的观点，对于这个问题大家是怎么看待的呢？欢迎在下方评论区交流 ~ 我是科技领域创作者，十年互联网从业经验，欢迎关注我了解更多科技知识！

那么多博士不知所然。

他是明文，但他也是面向连接的，当然，这个连接也是可以被截取或者篡改的。而https加密了报文和链接，比较难被截取和篡改。

那么为什么http协议密码不被窃取呢？因为虽然报文你可以看的到，但密码是加密的，类似md5这样的不可逆算法，就算给你加密后报文，你依旧没法知道密码。

但是黑客可以就用这个加密的密码登录，所以还是https安全一点，安全一点而已。

网站使用http的时代，你用拦截数据包，确实可以拦截到密码，但是，你只是拦截到一个或者几个用户的密码，不可能拦截到一个站几百万几千万个用户的密码。

拦截的方法通常是在用户的上层网关设置拦截，比如你公司的局域网，只要愿意，你公司的网管是可以拦截到你的密码的，这也不难做到。但是，自己人黑自己人，这不是技术层面的事，是人性道德法律的事。

想拦截整个站的密码，电信运营商和网站机房托管商可以做到。只不过，一旦发现必然坐牢。谁也不干这事。

网站丢不丢用户数据跟它是否使用HTTPS协议无关，关键在于存储用数据的网站服务器是否做了足够的防护。

HTTPS是用来传输用户访问数据的协议，协议本事是安全的。如果采用不加密的HTTP协议，那么用户的访问流量在往返网站的过程中，只要能被截获就会泄露，因为数据是没有加密的。用户的访问流量在互联网上传输是要经过好多环节的，在每一个环节都有可能被截获。就好比我们寄快递，HTTP协议使用透明的包装，而HTTPS协议则是包裹得严严实实的。如果使用透明的包装，那么收快递的、送快递的、中专站甚至是路人甲跟隔壁老王都能看到你寄的是什么东西，这样安全吗？

给点个睛，如果网络原理学得好，会用一些抓包工具，再想办法控制一台路由器，这办法不教了，实验环境可以用自己机器代替。传啥就能抓到啥，只要是不加密的数据包，传啥就能看到啥，还能篡改。

现在很少网站还在用http了，大多数都是带ssl加密的https传输

如果网吧网关开关数据包截取软件，所有客户机的http请求密码都能看到。公公wifi同理

主要是中间人攻击，（毛头孩子，多指教）

能进行加密操作的，又不止传输。

只是你不知道而已

没有听说过 只能说明你的阅历太少 2003年的时候 我就靠arp攻击和http监听来收集网吧上网人的邮箱密码

你把“abcdefg”加密后变成“58756987”，然后把“58756987”发到网上，谁都能看到，这影响加密了吗？

http确实是谁都能看到，但依然可以传递加密后的内容

https主要优点是身份认证，加密传输http就能做到

有一段时间可以弄到邮箱密码，不代表http没法可靠传递密码，而是程序员太松懈了，没有采取足够好的措施

别忘了有js啊

密码都是加密后传输给服务器，比如密码使用md5加密，加密后的密文是不可逆的，即使拦截了也没用梅。

因为用户密码并不是用明文传输的，而是密码的hash值。

hash是一个单向限门算法，简单说可以计算任意消息的hash值，但不能通过hash值反推消息内容。

服务器将用户密码的hash值存入数据库，所以即使是服务器，也有可能不知道密码的明文。用户登录的时候，服务器拿传入的hash值和数据库的hash值比对，如果一致则验证通过

这么简单的问题居然没有答对的，头条水平需要提高。http是明文传输的，非常不安全。使用它基本上密码都会被别人知道。现在广泛使用的都是https协议。https在上层使用了非对称加密和对称加密技术，使得点对点传世比较安全。最新版的chrome浏览器强制使用https，对使用http协议的网站都会标示成不安全的网站

http协议本身是明文，也就是说你发helloworld对方收到的就是helloworld，但是并没有禁止你先把helloworld加密再通过http传输啊。自己在单片机上写着玩的小网页，可以直接捕获密码，但是大公司的软件都没这么傻吧。