Por que fazer uso de HTTPS quando Fiddler pode descriptografá-lo [duplicado]

Question

Por que fazer uso de HTTPS quando Fiddler pode descriptografá-lo [duplicado]

[[2] esta pergunta já tem uma resposta aqui:

Qual é o objectivo do SSL se o fiddler 2 consegue descodificar todas as chamadas através dos HTTPS? 3 respostas

Acabei de descobrir que o Fiddler consegue descodificar o tráfego dos HTTPS.

por exemplo, instalei um site na localhost usando HTTPS. Ao inspecionar os pacotes de dados em Fiddler, eu fui capaz de ver toda a informação, uma vez que tem uma opção para descodificá-la.

A minha pergunta é, porquê usar HTTPS quando o Fiddler consegue decifrá-lo facilmente?

25

encryption debugging networking https fiddler

Author: Roman C, 2013-03-06

Source

2 answers

Para descodificar o tráfego de HTTPS, deverá primeiro instalar o certificado de raiz do Fiddler na sua lista de" certificados de confiança/raiz". O certificado de raiz do Fiddler é não um certificado de raiz que por omissão vem com o seu sistema operativo. O sistema operacional geralmente avisa quando você está tentando instalar isso.

Ao fazê-lo, você começa explicitamente a confiar em qualquer certificado assinado pelo certificado raiz do Fiddler. Quando você fizer um pedido de https, Fiddler vai executar um homem em o ataque do meio contigo. Suponha que você faça um pedido no formulário https://google.com . o Fiddler irá agora actuar como o servidor Google actual e irá criar um certificado falso para Google.com e assina com o certificado de raiz do Fiddler. Receberá este certificadofalso que foi assinado pelo Fiddler. Este certificado irá passar a validação do seu dispositivo, uma vez que o certificado raiz do Fiddler está agora nos seus certificados de confiança. Agora, o seu dispositivo vai começar. comunicar com o Fiddler através de uma ligação segura dos HTTPS. Fiddler irá transmitir as suas mensagens para Google.com e de volta a ti. Claro que o Fiddler vai conseguir descodificá-los. É de notar que o tráfego de Fiddler para o Google ocorrerá através de um segundo canal https seguro. Por isso, não se preocupem com a segurança fornecida pelos https.

9

Author: Ruchira Randana, 2014-10-30 09:54:15

score 31 · Accepted Answer

O Fiddler faz uma técnica. Para que funcione, é preciso confiar no seu certificado.

Http://www.fiddler2.com/fiddler/help/httpsdecryption.asp

Se não o fizeres, não descriptografa nada...

Como Pode o Fiddler2 depurar o tráfego de HTTPS?
A: Fiddler2 baseia-se numa abordagem "homem-no-meio" dos HTTPS interceptacao. Para o seu navegador Web, o Fiddler2 afirma ser o seguro servidor web, e para o servidor web, O Fiddler2 imita o navegador web. Para fingir ser o servidor web, o Fiddler2 dinamicamente gera um certificado HTTPS.
O certificado do Fiddler não é de confiança no seu navegador web (uma vez que Fiddler não é uma autoridade de certificação de raiz confiável), e, portanto, enquanto o Fiddler2 está interceptando seu tráfego, você verá um erro HTTPS mensagem no seu navegador [...]