Aby odszyfrować ruch HTTPS, należy najpierw zainstalować certyfikat główny Skrzypka na liście "zaufanych/głównych certyfikatów". Certyfikat główny Fiddlera to NOT certyfikat główny, który domyślnie jest dostarczany z systemem operacyjnym. System operacyjny zazwyczaj ostrzega, gdy próbujesz zainstalować to.
W ten sposób jawnie zaczynasz ufać certyfikatowi podpisanemu przez certyfikat główny Fiddlera. Kiedy teraz wykonasz żądanie https, Fiddler wykona atak Man atakiem środkowym z tobą.
Załóżmy, że składasz wniosek w postaci https://google.com. Fiddler będzie teraz działać jako rzeczywisty serwer Google i utworzy fałszywy certyfikat dla Google.com i podpisz go przy użyciu certyfikatu głównego Fiddlera. Otrzymasz ten certyfikat atrapa, który został podpisany przez Fiddler. Ten certyfikat przejdzie weryfikację urządzenia, ponieważ certyfikat Root of Fiddler znajduje się teraz w zaufanych certyfikatach. Teraz twoje urządzenie rozpocznie komunikację z Fiddler poprzez bezpieczne połączenie HTTPS. Fiddler przekaże twoje wiadomości do Google.com i z powrotem do Ciebie. Oczywiście Fiddler będzie mógł je odszyfrować.
Należy zauważyć, że ruch z Fiddler do Google odbywa się za pośrednictwem drugiego bezpiecznego kanału https.
Dlatego nie martw się o bezpieczeństwo zapewniane przez https.
HTTPS chroni przed podsłuchem między klientem a serwerem. –
@ColonelPanic Rozumiem to. Jednak właśnie odkryłem, że Fiddler może łatwo odszyfrować HTTPS.Chciałbym wiedzieć, jaki jest sens używania HTTPS, gdy Fiddler może go łatwo odszyfrować? –
A może jest to spowodowane faktem, że witryna odszyfrowana za pomocą Fiddlera jest wdrażana z hosta lokalnego? –