2
我正在检查由WFC客户端使用Fiddler发送和接收的HTTP流量。要做到这一点,我已经通过Windows证书商店添加了Fiddler根证书。我的问题是,当我需要再次测试时,是否有任何将此证书留在Windows存储中的风险?攻击可以利用它在那里的事实吗?我应该在完成测试后删除它吗?永久信任Fiddler根证书是否'安全'?
A
回答
3
由于证书是由Fiddler为我的系统唯一生成的,即使对手知道我已经安装了这样的证书,他们也没有办法利用这一点。如果他们知道证书的唯一私钥,那么他们可能会对我使用这种私钥,例如,通过中间人攻击,但为了证明他们需要渗透我的系统以获取证书,那么就没有必要进行中间人攻击了。
话虽如此,为了保证安全,我已将证书安装在单独的Firefox配置文件中,专门用于Fiddler,因此在进行常规网上冲浪时,我的系统中没有证书。
1
不,它不安全,是的你应该删除它。
为了方便调试,它的整个目的是打破SSL的安全性。
它的名字中甚至有“DO_NOT_TRUST”,这是有原因的。
-1
企业使用说明我在多个客户端看到的包括使用Fiddler后的Cert拆除步骤。所以答案肯定是“是的,使用后请删除证书”。
相关问题
- 1. 我如何永久信任SSL证书?
- 2. 'res'证书 - 是否安全?
- 3. 永久移动证书
- 4. 如何在机器根存储中安装Fiddler的根证书
- 5. Chrome不信任提琴手根证书
- 6. Tomcat服务器信任库根证书
- 7. 在受信任的根证书库上安装SSL证书的脚本
- 8. filterFunction是否永久?
- 9. 安全证书
- 10. Apple APNS和“Entrust安全CA根证书”?
- 11. 在PhantomJS中安装受信任的根证书
- 12. 受信任的根证书奇迹般地安装到Windows
- 13. C#不信任安装的证书
- 14. WCF传输安全使用证书忽略链信任
- 15. OkHttp信任证书
- 16. Qt QWebView证书链的根证书是自签名的,不受信任
- 17. 春季安全配置信息,以永久身份验证请求
- 18. 信任所有证书? X509证书
- 19. GeoTrust是Android => 2.3中的受信任根证书之一吗?
- 20. 信任库中信任哪些证书?
- 21. 证书链的根证书是自签名的,不可信的
- 22. 永久安全的方式里面footer.php
- 23. Pyro信号是否安全?
- 24. Botkit和https安全端点是否是强制性证书?
- 25. 是否可以验证自签名证书和可信证书?
- 26. 验证Mono(OS X信任根)上的x509证书
- 27. Android不信任证书
- 28. 信任的SSL证书
- 29. Android HttpsURLConnection信任证书
- 30. Websphere不信任的证书
如果它是一个本地生成的小提琴手证书,不会担心太多,除非您希望某人破解进入您的系统,窃取证书的私钥,然后开始用其他方式签名。但是,您可以进入证书工具,并且不允许将证书用于除HTTP以外的任何其他用途。 –