2013-03-06 8 views
23

Właśnie odkryłem, że Fiddler może odszyfrować ruch HTTPS.Po co korzystać z HTTPS, kiedy Fiddler może go odszyfrować?

Na przykład, wdrożyłem witrynę na localhost przy użyciu HTTPS. Podczas sprawdzania pakietów danych w Skrzypku mogłem wyświetlić wszystkie informacje, ponieważ ma opcję odszyfrowania.

Moje pytanie brzmi, dlaczego warto korzystać z HTTPS, gdy Fiddler może z łatwością odszyfrować?

+0

HTTPS chroni przed podsłuchem między klientem a serwerem. –

+0

@ColonelPanic Rozumiem to. Jednak właśnie odkryłem, że Fiddler może łatwo odszyfrować HTTPS.Chciałbym wiedzieć, jaki jest sens używania HTTPS, gdy Fiddler może go łatwo odszyfrować? –

+0

A może jest to spowodowane faktem, że witryna odszyfrowana za pomocą Fiddlera jest wdrażana z hosta lokalnego? –

Odpowiedz

28

Fiddler wykonuje technikę MITM.

Aby to działało, trzeba zaufać jego świadectwa:

http://www.fiddler2.com/fiddler/help/httpsdecryption.asp

Jeśli nie, to nie będzie nic odszyfrować ...

jak można Fiddler2 debugować ruch HTTPS?

Odp .: Fiddler2 opiera się na podejściu "man-in-the-middle" do przechwytywania HTTPS . W przeglądarce WWW Fiddler2 twierdzi, że jest bezpiecznym serwerem internetowym , a na serwer WWW Fiddler2 naśladuje przeglądarkę internetową. Aby udawać, że jest serwerem WWW, Fiddler2 dynamicznie generuje certyfikat HTTPS.

certyfikat Fiddler nie jest zaufany przez przeglądarkę internetową (od Skrzypek nie jest organem Trusted Root Certification) i stąd podczas Fiddler2 jest przechwytywanie ruchu, zobaczysz HTTPS błąd wiadomość w swojej przeglądarki [. ..]

+1

Tak więc jedynym sposobem ochrony przed odszyfrowywaniem HTTPS nie jest zaufanie do certyfikatu w pierwszej kolejności. Czy rozumiem poprawnie? –

+1

Powiedzmy, że użytkownik akceptuje certyfikat. Czy mam rację mówiąc, że Skrzypek będzie mógł odszyfrować informacje? –

+0

Tak, ponieważ twierdzi, że jest miejscem docelowym;) Jeśli nie ufasz, powinieneś być bezpieczny. –

8

Aby odszyfrować ruch HTTPS, należy najpierw zainstalować certyfikat główny Skrzypka na liście "zaufanych/głównych certyfikatów". Certyfikat główny Fiddlera to NOT certyfikat główny, który domyślnie jest dostarczany z systemem operacyjnym. System operacyjny zazwyczaj ostrzega, gdy próbujesz zainstalować to.

W ten sposób jawnie zaczynasz ufać certyfikatowi podpisanemu przez certyfikat główny Fiddlera. Kiedy teraz wykonasz żądanie https, Fiddler wykona atak Man atakiem środkowym z tobą.

Załóżmy, że składasz wniosek w postaci https://google.com. Fiddler będzie teraz działać jako rzeczywisty serwer Google i utworzy fałszywy certyfikat dla Google.com i podpisz go przy użyciu certyfikatu głównego Fiddlera. Otrzymasz ten certyfikat atrapa, który został podpisany przez Fiddler. Ten certyfikat przejdzie weryfikację urządzenia, ponieważ certyfikat Root of Fiddler znajduje się teraz w zaufanych certyfikatach. Teraz twoje urządzenie rozpocznie komunikację z Fiddler poprzez bezpieczne połączenie HTTPS. Fiddler przekaże twoje wiadomości do Google.com i z powrotem do Ciebie. Oczywiście Fiddler będzie mógł je odszyfrować.

Należy zauważyć, że ruch z Fiddler do Google odbywa się za pośrednictwem drugiego bezpiecznego kanału https.

Dlatego nie martw się o bezpieczeństwo zapewniane przez https.