【发布时间】:2012-02-27 21:53:47
【问题描述】:
请有人告诉我这是不正确的。阅读 this 链接,似乎可以通过提琴手解密 https 流量。这是否意味着如果我通过 https 进行网上银行,可以拦截此流量的人可以读取我的帐户并锁定密钥信息?
【问题讨论】:
标签: https fiddler encryption
【发布时间】:2012-02-27 21:53:47
【问题描述】:
Fiddler 要求您安装特殊的 SSL 根证书,以便它能够侦听 HTTPS 流量。安装后,Fiddler 可以将自己安装为代理(中间人),假装它是 Internet 上的每个 HTTPS 站点。简而言之,是的,它可以通过 HTTPS 收听一切,但您需要先在您的机器上手动安装证书才能允许它。
理论上,您在计算机上安装的任何根证书(无论是否为 Fiddler)都将允许生成它的人冒充任何 Internet 站点,因此切勿在不考虑后果的情况下这样做。
在 SSL 术语中,Fiddler 所做的是将自己作为证书颁发机构安装在您的计算机上。当您访问它充当中间人的 HTTPS 站点时,它会快速生成一个声称是相关站点的证书。由于根证书在您的机器上,它会信任 Fiddler 的证书并愉快地让它解密所有内容。
【讨论】:
Fiddler 将充当Man in the Middle,使用自己的 SSL 证书,从而触发浏览器警告。如果您被这些警告适当地阻止了,那么没有人会窥探您的网上银行会话。
有关其工作原理的更多信息,您可以阅读public-key cryptography。
【讨论】:
-
我的概念可能完全错误,但我认为只能通过客户端计算机上的匹配证书来加密流量。如果 fiddler 有自己的证书,它如何解密由不同证书加密的流量
-
实际上,Fiddler 会(至少在您启用 HTTPS 时默认)在 IE 的证书存储中安装根证书,因此至少在 Internet Explorer 中不会显示任何警告。
-
@JoachimIsaksson:哦……我没有意识到这一点。谢谢。
您必须接受 fiddler 颁发的 ssl 证书,但是您可以使用 fiddler 监控 ssl 流量。如果您深入挖掘,还有更复杂的 MITM 攻击工具,例如:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
【讨论】:
-
不确定我是否明白。银行将拥有由 CA 颁发的不同证书。提琴手可以使用该证书吗?或者如果 fiddler 有自己的证书,那么如何使用它来查看银行使用的不同证书加密的数据?
-
Fiddler 使用从您的网上银行帐户获得的证书在 fiddler 和您的 ssl 安全网上银行页面之间建立 ssl 连接(@grossvogel 已经发布了技术细节)。 Fiddler 使用自签名证书将捕获的流量传回浏览器,以便浏览器显示 ssl 加密连接。