有人请告诉我这是不正确的。阅读this链接,看起来像一个可以通过提琴手去加密https流量。这是否意味着如果我通过https进行网上银行业务,那么可以拦截此流量的人可以阅读我的帐户并锁定关键信息?有人可以查看使用提琴手通过https进行的数据吗?
回答
提琴手将充当,使用自己的SSL证书,从而触发浏览器警告。如果您适当地被这些警告所吓倒,没有人会在您的网上银行会话中窥探。
有关工作原理的更多信息,请阅读public-key cryptography。
您必须接受由fiddler发布的ssl证书,但是您可以使用fiddler监控ssl流量。如果您深入挖掘,可以使用更复杂的MITM攻击工具,例如:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
不知道我是否得到它。银行将拥有由CA颁发的不同证书。提琴手可以使用该证书吗?或者如果提琴手有自己的证书,那么如何才能查看由银行使用的不同证书加密的数据? – 2012-02-27 21:58:19
Fiddler使用从您的在线银行帐户获得的证书在fiddler和您的ssl安全在线银行页面(@grossvogel已发布技术细节)之间建立ssl连接。 Fiddler比使用自签名证书将捕获的流量传回浏览器,以便浏览器显示ssl加密连接。 – Andreas 2012-02-27 22:20:47
Fiddler要求您安装特殊的SSL根证书,以便能够侦听HTTPS流量。一旦你安装它,Fiddler可以将自己安装为代理(中间人),假装它是互联网上的每个HTTPS站点。总之,是的,它可以通过HTTPS监听的所有内容,但您需要首先在您的机器上手动安装证书以允许它。
从理论上讲,你安装在你的机器上的任何根证书 - 无论是否是Fiddler - 都将允许生成它的人冒充任何Internet站点,所以从不考虑分支。
用SSL术语来说,Fiddler所做的就是将自己安装为您计算机上的证书颁发机构。当您访问作为中间人的HTTPS站点时,它会迅速生成声称为该网站的证书。由于根证书在您的机器上,因此它将信任提琴手的证书,并乐意让它解密所有内容。
- 1. 有人可以提供有关通过.htaccess强制https的更多信息吗?
- 2. ISP可以通过HTTPS站点访问通过iframe查看的站点吗?
- 3. 如何通过提琴手
- 4. 有人可以解释这个小提琴的输出吗?
- 5. 小提琴手 - 在检查通过C#的飞行
- 6. .Net HttpWebResponse通过HTTPS响应流 - 与提琴手 - 垃圾无
- 7. 有人可以指示我为R进行人口普查x11过滤吗?
- 8. 我们可以使用NSAutoreleasePool进行查看吗?
- 9. AJAX可以通过非SSL进行吗?
- 10. 隐藏的iOS HTTPS从小提琴手
- 11. 可以通过中间人攻击劫持HTTPS连接吗?
- 12. 我们可以使用jpcap过滤https数据包吗?
- 13. Ng2-smart-table:可以通过没有密钥的数据行吗?
- 14. 有人可以帮助我通过使用Cygwin安装PyOpenCL吗?
- 15. 可以通过HTTPS的HTTP intead使用Auth0服务器吗?
- 16. 工作人员的请求可以通过服务人员进行代理吗?
- 17. 有人可以通过S3来源通过Cloudfront从Cloudfront提供gzip文件吗?
- 18. 两个应用程序可以通过UDP数据包进行通信吗?
- 19. 可以通过chrome(使用dart VM)进行飞镖调试吗?
- 20. 可以通过使用模型属性进行排序吗?
- 21. 可以使用无框架的手风琴导航吗?
- 22. 你可以在c#中使用Ajax手风琴的findcontrol吗?
- 23. 什么样的交通提琴手可以捕捉?
- 24. 有什么工具可以查看针对数据库运行的查询吗?
- 25. 有人可以推荐一个好的客户端库通过https发送数据吗?
- 26. 我可以使用https进行本地开发吗?
- 27. 使用通用模型进行查看
- 28. 我可以使用Javascript通过rowIndex查找表格行吗?
- 29. 我可以查看cin缓冲区以进行调试吗?
- 30. 有人可以检查看看我的表情有什么问题吗?
我的概念可能完全错误,但我认为只能通过在客户端计算机上匹配证书来阻止流量。如果fiddler拥有自己的证书,它如何解密通过不同证书加密的流量 – 2012-02-27 22:01:02
实际上,Fiddler将(至少在默认情况下启用HTTPS时)在IE的证书存储区中安装根证书,因此不会显示任何警告,至少在Internet Explorer中。 – 2012-02-27 22:13:49
@JoachimIsaksson:哦...我没有意识到这一点。谢谢。 – grossvogel 2012-02-27 22:39:15