国内大多数网站的密码在 post 传输过程中都是明文的，这正常吗？

看到上面几位的回答，我真心觉得，当前信息安全保护的意识过于低下，连一些基本的保护措施都能够被认为是「没有必要」。同意@任冬 的观点，都在偷懒，不重视安全，没有什么理由好开脱的。

如同@lumin 所说，信息安全的保护确实分成两个部分，端的安全（可以具体到客户端和服务器端）和链路的安全，也就是传输过程中的安全。

一般我们可以认为，端都是可信的。对于服务器端，你愿意使用这个公司提供的服务，一个隐含的条件就是相信这个提供服务的公司，所以服务器端可以认为是比较安全的。

而客户端，你愿意使用这台电脑，也表明你认为这台电脑是比较安全的。只有对于一些安全级别更高的业务，比如在线交易，才需要额外的再对客户端的安全性做一次校验。但是，要真正的保证客户端安全是很难的，需要使用像可信计算这样的技术。常见的能够很大程度保护客户端安全的设备，比如iOS设备、PSP之类的游戏机，也是能够遭到破解，所以这个问题至今没有比较完善的解决方案。

通常我们认为，自己肯定不会给自己的电脑装上木马，网吧的老板一般不会跟黑客一伙，也不会在网吧的电脑上装木马。所以保护的焦点，应该集中在通信的链路上，而不是端上，而且，在链路上进行窃听，比在大部分时候在端上进行攻击都来得有效和难以发现。

一个很简单的例子，如果我用笔记本在一个外租房比较密集的小区，建立一个无密码的WiFi热点，保证很多试图蹭网的人连接上来，然后如果我用WireShark（或者用WinPcap写一个过滤程序），监听WiFi收到转发的数据包，那一定能截获大批的用户名和口令，至少，如果他上知乎，用户名和口令我一定能得到。这个例子也说明了，各位千万不要贪图小便宜而去蹭别人的WiFi，这是一个对自己来说很危险的行为。

实施网络窃听是如此的容易，甚至不需要额外安装什么黑客软件就可以进行。对于很多场合，我们对于传输的内容被窃取并不关心，我不怕别人知道我看了什么新闻，也不怕别人知道我在知乎回答了什么问题，但是用户名和口令这样的身份鉴别信息是绝对不可以被窃取的，因为可能会引起一系列其他的安全问题，CSDN泄漏以后大家都在改密码就能说明问题。对于关键身份鉴别信息在传输时进行加密是一种非常有必要，而且也是非常重要的事情。

至于安全成本问题，我觉得，一个开发人员的薪水一年是十万以上，一年三五千的SSL证书，对于一个网站来说，根本就是九牛一毛。

没有 HTTPS 的网站都是对用户安全不负责任的。HTTPS 当然有成本，证书只是一方面，服务器负责是另一方面。当然百度不愿意实现 HTTPS 登录，理由是服务器成本，因为 HTTPS 加解密开销是普通 HTTP 的几倍。不过你看 Gmail 和 Facebook 都默认全站 HTTPS 了，你说你只有登录做 HTTPS 也做不到，这就是基本的安全保障都不提供啦？