有人可以查看使用提琴手通过https进行的数据吗？

有人请告诉我这是不正确的。阅读this链接，看起来像一个可以通过提琴手去加密https流量。这是否意味着如果我通过https进行网上银行业务，那么可以拦截此流量的人可以阅读我的帐户并锁定关键信息？有人可以查看使用提琴手通过https进行的数据吗？

2012-02-27 palm snow

提琴手将充当，使用自己的SSL证书，从而触发浏览器警告。如果您适当地被这些警告所吓倒，没有人会在您的网上银行会话中窥探。 enter image description here

有关工作原理的更多信息，请阅读public-key cryptography。

2012-02-27 21:57:01 grossvogel

我的概念可能完全错误，但我认为只能通过在客户端计算机上匹配证书来阻止流量。如果fiddler拥有自己的证书，它如何解密通过不同证书加密的流量 – 2012-02-27 22:01:02

实际上，Fiddler将（至少在默认情况下启用HTTPS时）在IE的证书存储区中安装根证书，因此不会显示任何警告，至少在Internet Explorer中。 – 2012-02-27 22:13:49

@JoachimIsaksson：哦...我没有意识到这一点。谢谢。 – grossvogel 2012-02-27 22:39:15

您必须接受由fiddler发布的ssl证书，但是您可以使用fiddler监控ssl流量。如果您深入挖掘，可以使用更复杂的MITM攻击工具，例如：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

2012-02-27 21:55:44 Andreas

不知道我是否得到它。银行将拥有由CA颁发的不同证书。提琴手可以使用该证书吗？或者如果提琴手有自己的证书，那么如何才能查看由银行使用的不同证书加密的数据？ – 2012-02-27 21:58:19

Fiddler使用从您的在线银行帐户获得的证书在fiddler和您的ssl安全在线银行页面（@grossvogel已发布技术细节）之间建立ssl连接。 Fiddler比使用自签名证书将捕获的流量传回浏览器，以便浏览器显示ssl加密连接。 – Andreas 2012-02-27 22:20:47

Fiddler要求您安装特殊的SSL根证书，以便能够侦听HTTPS流量。一旦你安装它，Fiddler可以将自己安装为代理（中间人），假装它是互联网上的每个HTTPS站点。总之，是的，它可以通过HTTPS监听的所有内容，但您需要首先在您的机器上手动安装证书以允许它。

从理论上讲，你安装在你的机器上的任何根证书 - 无论是否是Fiddler - 都将允许生成它的人冒充任何Internet站点，所以从不考虑分支。

用SSL术语来说，Fiddler所做的就是将自己安装为您计算机上的证书颁发机构。当您访问作为中间人的HTTPS站点时，它会迅速生成声称为该网站的证书。由于根证书在您的机器上，因此它将信任提琴手的证书，并乐意让它解密所有内容。

2012-02-27 22:01:31

回答