FiddlerがHTTPSトラフィックを復号化できることが判明しました。Fiddlerで復号化できるときにHTTPSを使用する理由
たとえば、HTTPSを使用してlocalhostにWebサイトを展開しました。 Fiddlerでデータパケットを検査するとき、私はそれを解読するオプションがあるので、私はすべての情報を見ることができました。
私の質問は、なぜFiddlerが簡単に解読できるのかHTTPSを利用するのですか?
FiddlerはMITMの手法を実行します。
それを動作させるために、あなたはその証明書を信頼する必要があります。
http://www.fiddler2.com/fiddler/help/httpsdecryption.asp
そうでない場合は、それが何かを解読しません...
方法Fiddler2をすることができますデバッグHTTPSトラフィック?
A:Fiddler2は、HTTPS 傍受に対する「man-in-the-middle」アプローチに依存しています。あなたのWebブラウザには、Fiddler2はセキュアな Webサーバーであると主張し、WebサーバーにはFiddler2はWebブラウザを模倣します。 Webサーバーのふりをするために、Fiddler2は動的に でHTTPS証明書を生成します。 Fiddler2をあなたのトラフィックを傍受している間
フィドラーの証明書は、( フィドラーは、信頼されたルート証明機関ではないので)、Webブラウザによって信頼され、ひいては されていない、あなたのブラウザの[にHTTPSエラー メッセージが表示されます。 ..]
したがって、HTTPS復号化から保護する唯一の方法は、最初に証明書を信頼することではありません。私は正しく理解していますか? –
ユーザが証明書を受け入れるとします。私はフィドラーが情報を解読できると言って訂正していますか? –
はい、目的地であると主張しているため)信頼できない場合は、安全でなければなりません。 –
HTTPSトラフィックを復号化するには、まず「信頼できる/ルート証明書」リストにFiddlerのルート証明書をインストールする必要があります。 Fiddlerのルート証明書はNOTです。ルート証明書はデフォルトでオペレーティングシステムに付属しています。あなたがこれをインストールしようとしているとき、OSは通常あなたに警告します。
このようにすると、Fiddlerのルート証明書で署名された証明書を明示的に信頼するようになります。 httpsリクエストを作成すると、Fiddlerは中間の攻撃でManを実行します。
https://google.comの形式でリクエストしたとします。 Fiddlerは実際のGoogleサーバーとして機能し、Google.comの仮証明書を作成し、Fiddler's Root証明書を使用して署名します。あなたはこのダミーフィドラーによって署名された証明書を受け取るでしょう。この証明書は、フィドラーのルート証明書が信頼できる証明書に入っているため、デバイスの検証にパスします。これで、デバイスは安全なHTTPS接続を介してFiddlerとの通信を開始します。 FiddlerはあなたのメッセージをGoogle.comに中継して返信します。もちろん、Fiddlerはそれらを解読することができます。
FiddlerからGoogleへのトラフィックは、2回目のSecure httpsチャネルを通じて発生することに注意してください。
したがって、httpsで提供されるセキュリティについては心配しないでください。
HTTPSは、クライアントとサーバーの間の盗聴者を保護します。 –
@ColonelPanic私はそれを理解しています。しかし、私は、FiddlerがHTTPSを簡単に解読できることを発見しました。Fiddlerが簡単に解読することができるときにHTTPSを使用する点は何ですか? –
それは、Fiddlerを使用して解読されたWebサイトがlocalhostから配備されているためですか? –