【发布时间】:2011-09-02 16:04:55
【问题描述】:
我有一个使用传输和消息安全的 WCF 服务。如何保护数据免受恶意中间人攻击,例如来自使用 fiddler 并允许 fiddler 解密 HTTPS 流量的用户?
【问题讨论】:
标签: wcf https wcf-security fiddler man-in-the-middle
【发布时间】:2011-09-02 16:04:55
【问题描述】:
Fiddler documentation 已涵盖此主题。您可以使用 Fiddler 来嗅探来自您可以物理访问的各方的消息。鉴于您不向恶意用户提供物理访问权限,您将受到传输和消息安全的保护。
问:Fiddler2 是否展示了 HTTPS 的缺陷?
答:不可以。HTTPS 依赖证书来保护网络流量。 Web 浏览器依靠 Trusted 来防止中间人攻击 根证书颁发机构颁发证书以保护 交通。按照设计,网络浏览器会在流量时显示警告 不受受信任根颁发的证书的保护。
编辑
这是来自另一个relevant answer
传输安全仅提供点对点通道安全。它 意味着HTTPS仅在客户端和客户端之间建立安全通道 服务器暴露给客户端。但是如果这台服务器只是一个负载均衡器 或代理服务器,它可以直接访问消息的内容。
消息安全提供端到端的通道安全。代表着 安全性是传输数据的一部分,只有预期的目的地可以 解密数据(负载均衡器或代理只看到加密的消息)。 大多数情况下的消息安全性也使用证书来提供 加密和签名,但通常较慢,因为传输 安全性可以使用硬件加速。
【讨论】: