Ich habe vor einiger Zeit eine Frage dazu gestellt, wie ich meine http-Anforderungsaufrufe ausblenden und in meiner Anwendung sicherer machen kann. Ich wollte nicht, dass Leute fiddler 2 benutzen, um den Anruf zu sehen und einen Autoresponder einzurichten. Jeder hat mir gesagt, dass ich SSL gehen soll und Anrufe werden versteckt und Informationen sicher aufbewahrt.Was ist SSL, wenn Fiddler 2 alle Anrufe über HTTPS entschlüsseln kann?
Ich kaufte und installierte ein SSL-Zertifikat und bekam alles eingerichtet. Ich habe fiddler 2 gebootet und eine Testanwendung ausgeführt, die sich mit einem https-Webdienst verbindet und mit einem https-PHP-Skript verbunden ist.
Fiddler 2 konnte nicht nur beide Anfragen erkennen, sondern auch entschlüsseln! Ich konnte alle Informationen zurück und viert sehen, was mich zu meiner Frage bringt.
Was ist der Sinn von SSL, wenn es keinen Unterschied zur Sicherheit macht. Mit oder ohne SSL kann ich alle Informationen zurück und viertens sehen und noch einen automatischen Antwortgeber einrichten.
Gibt es etwas in .NET Ich vermisse meine Anrufe besser über SSL zu verstecken?
EDIT
ich einen neuen Teil auf einige der Antworten aufgrund dieser Frage bin ich Zusatz erhalten haben. Was passiert, wenn eine App sich mit einem Webdienst verbindet, um sich anzumelden? Die App sendet dem Web-Service einen Benutzernamen und ein Passwort. Der Web-Service sendet dann Daten zurück an die App, die gute oder schlechte Login-Daten sagen. Selbst wenn man über SSL geht, kann die Person, die Fiddler 2 verwendet, einfach einen Autoresponder einrichten, und die Anwendung wird dann "geknackt". Ich verstehe, wie es nützlich sein kann, die Daten beim Debuggen zu sehen, aber meine Frage ist, was genau man tun sollte, um sicherzustellen, dass die SSL Verbindung zu der, die sie angefordert hat, ist. Grundsätzlich gesagt, es kann keinen Mittelmann geben.
Ich glaube, es kann nur die Informationen für Sie Maschine entschlüsseln, weil Sie bereits den privaten Schlüssel haben – Mark
Das ist richtig - es ist ähnlich wie andere Web-Debugging-Proxy-- wie in Alexei Antwort unten erwähnt wird, nur solche Proxies Inspizieren Sie Informationen, die für Ihre Maschine bestimmt sind, und helfen Sie so bei der Fehlersuche (daher der Name "Debugging-Proxy"), erlauben Sie aber nicht, Anrufe von anderen Maschinen willkürlich zu entschlüsseln. SSL ist also immer noch sicher, aber lokal beobachtbar, so dass man effizienter debuggen kann. – waxspin
Ihre Änderung der Frage stellt eine völlig andere Frage, als die ursprüngliche. Sie müssen das vom Server gesendete Zertifikat ordnungsgemäß überprüfen. Die Art und Weise, dies zu tun, hängt davon ab, wie Sie sich verbinden (welche Klassen werden verwendet usw.). –