Ich habe gerade entdeckt, dass Fiddler HTTPS-Verkehr entschlüsseln kann.Warum HTTPS verwenden, wenn Fiddler es entschlüsseln kann
Zum Beispiel habe ich eine Website auf localhost mit HTTPS bereitgestellt. Bei der Überprüfung der Datenpakete in Fiddler konnte ich alle Informationen einsehen, da es eine Option zum Entschlüsseln gibt.
Meine Frage ist, warum HTTPS verwenden, wenn Fiddler es leicht entschlüsseln kann?
Fiddler führt eine Technik durch.
, damit es funktioniert, müssen Sie dessen Zertifikat vertrauen:
http://www.fiddler2.com/fiddler/help/httpsdecryption.asp
Wenn Sie dies nicht tun, wird es nichts entschlüsseln ...
wie kann Fiddler2 Debug HTTPS-Verkehr?
A: Fiddler2 beruht auf einem "Man-in-the-Middle" -Ansatz für HTTPS Interception. In Ihrem Webbrowser behauptet Fiddler2, der sichere Webserver zu sein, und auf den Webserver simuliert Fiddler2 den Webbrowser. Um sich als Webserver auszugeben, generiert Fiddler2 dynamisch ein HTTPS-Zertifikat.
Zertifikat des Fiddler wird nicht von Ihrem Web-Browser vertraut (seit Fiddler kein Vertrauenswürdige Stammzertifizierungsstelle ist) und damit während Fiddler2 Ihren Traffic abfängt, werden Sie eine HTTPS-Fehler Nachricht in Ihrem Browser [sehen. ..]
Die einzige Möglichkeit, sich vor der HTTPS-Entschlüsselung zu schützen, besteht darin, das Zertifikat nicht zu vertrauen. Verstehe ich richtig? –
Nehmen wir an, der Benutzer akzeptiert das Zertifikat. Stimmt es, dass Fiddler dann die Informationen entschlüsseln kann? –
Ja, weil es behauptet, das Ziel zu sein;) Wenn Sie es nicht vertrauen, sollten Sie sicher sein –
Um den HTTPS-Verkehr zu entschlüsseln, müssen Sie zuerst das Fiddler-Stammzertifikat in Ihrer "Trusted/root certificates" -Liste installieren. Fiddlers Stammzertifikat ist NICHT ein Stammzertifikat, das standardmäßig mit Ihrem Betriebssystem geliefert wird. Das Betriebssystem wird Sie normalerweise warnen, wenn Sie versuchen, dies zu installieren.
Dabei beginnen Sie explizit, jedem Zertifikat zu vertrauen, das vom Fiddler-Stammzertifikat signiert wurde. Wenn du jetzt eine https-Anfrage stellst, wird Fiddler einen Mann im mittleren Angriff mit dir ausführen.
Angenommen, Sie geben eine Anfrage in der Form https://google.com. Fiddler fungiert nun als tatsächlicher Google-Server und erstellt ein Dummy-Zertifikat für Google.com und signiert es mit dem Fiddler-Stammzertifikat. Sie erhalten dieses Dummy Zertifikat, das von Fiddler unterzeichnet wurde. Dieses Zertifikat wird die Überprüfung Ihres Geräts bestehen, da sich das Fiddler-Stammzertifikat jetzt in Ihren vertrauenswürdigen Zertifikaten befindet. Jetzt kommuniziert Ihr Gerät über eine sichere HTTPS-Verbindung mit Fiddler. Fiddler leitet Ihre Nachrichten an Google.com und zurück an Sie weiter. Natürlich wird Fiddler sie entschlüsseln können.
Es ist zu beachten, dass der Verkehr von Fiddler zu Google über einen zweiten sicheren https-Kanal erfolgt.
Daher nicht über die Sicherheit von https sorgen.
HTTPS schützt vor Lauschern zwischen dem Client und dem Server. –
@ColonPanic Ich verstehe das. Ich habe jedoch gerade entdeckt, dass Fiddler HTTPS leicht entschlüsseln kann.Ich würde gerne wissen, was ist der Sinn der Verwendung von HTTPS, wenn Fiddler es einfach entschlüsseln kann? –
Oder liegt es daran, dass die mit Fiddler entschlüsselte Website von localhost bereitgestellt wird? –