敏感信息如密碼還需要加密么？

必須的,不加密的后果是如果發生中間人攻擊,你的https流量都會被解密,比如最近發生的這個github pages劫持事件

https://www.v2ex.com/t/656367?p=1,

其實原理很簡單,本質上,你使用任何一個抓包工具,比如fiddler在本機抓包,fiddler相當于中間人,可以解密你的所有https流量信息,你可以試下,我的博客有說明,網上也有大量說明;

當然了,默認情況下,電腦對非法的證書會報警提示,但是有時候我們可能會設置相信非法證書,這種情況下就比較危險了,所以敏感信息必須要加密,不能單純依賴https,再具體的分析限于篇幅不列出了,可以參考github page劫持事件的分析: https://lyhistory.com/docs/software/network/network2github.html