HTTPS采用高安全性的TLS加密,可为什么Fiddler抓到HTTPS的包能解密?
因为你信任了它的证书,并且设置了网络代理为抓包软件,
本来是 APP传给服务器
现在变成了
APP传给抓包工具,抓包工具给服务器
对于服务器来说, 抓包工具就是APP, 对于APP来说, 抓包工具就是服务器
所以不要乱装证书,协议本身没问题
补充:
比如APP调用服务器接口。
想要不被中间人篡改数据,上https就行。
但想要不被用户篡改,还需要给数据签名。
看都不想让用户看到,那可能需要https证书双向校验,或者数据再加密。
很简单 你信任了费德勒的证书 2.x的版本之后 装完会打开网页让你信任的
https 和 pki是两个东西 解决不同的问题
fiddler的原理实际上就是中间人攻击。
补充一句,如果你不装fiddler的证书,fiddler一样可以解密你的https连接,但你的浏览器会提示此网站的证书无效。
https做了两件事。
第一件是加密,服务器存个私钥,发个公钥给你。这一步不值钱。
第二件是扔到浏览器端的。浏览器在拿到公钥后,会用公钥和网址去验证这个网址和公钥是否对应。它是通过什么验证的呢?就是一个带层级的证书。这个证书值钱,也就是为什么https一般不免费。
fiddle给浏览器装了个证书。
这其实告诉我们,证书不能瞎装,你不了解它就可能泄露你的数据。
是你让它抓的,而且是主动让它抓的。你不装fidder的证书它抓不了的。
就像是你主动把东西交给一个你不认识但是却又一股脑信任的陌生人一样。
Fiddler抓取HTTPS流量的原理bai TLS是一种端到端的传输层加密协议,是HTTPS协议的一个组成部分。访问HTTPS站点时,HTTP请求、响应都通过TLS协议在浏览器和服务 器之间加密传输,并且通过数字证书技术保证数据的保密性和完整性;任何“中间人”、包括代理服务器都只能转发数据,而无法窃听或者篡改数据。
可以的 Fiddler抓取HTTPS流量的原理 TLS是一种端到端的传输层加密协议bai,是HTTPS协议的一个组成部分。访问HTTPS站点时,HTTP请求、响应都通过TLS协议在浏览器和服务 器之间加密传输,并且通过数字证书技术保证数据的保密性和完整性;任何“中间人”、包括代理服务器都只能转发数据,而无法窃听或者篡改数据。 要抓取HTTPS流量的明文内容,Fiddler必须解密HTTPS流量。但是,浏览器将会检查数字证书,并发现会话遭到窃听。为了骗过浏览 器,Fiddler通过使用另一个数字证书重新加密HTTPS流量。Fiddler被配置为解密HTTPS流量后,会自动生成一个名为 DONOTTRUSTFiddlerRoot的CA证书,并使用该CA颁发每个域名的TLS证书。若 DONOTTRUSTFiddlerRoot证书被列入浏览器或其他软件的信任CA名单内,则浏览器或其他软件就会认为HTTPS会话是可信任的、 而不会再弹出“证书错误”警告。 开启HTTPS流量解密功能后,Fiddler将会提示用户将DONOTTRUSTFiddlerRoot证书列入IE浏览器的信任CA名 单。用于调试客户端时,这已经足够了;Firefox用户也可以很方便的手动导入DONOTTRUSTFiddlerRoot证书。但是,若要在服 务器上抓取ASP.Net发出的HTTPS请求,这是不够的——你必须将DONOTTRUST_FiddlerRoot证书导入“机器帐号”的信任 CA名单。
因为https保证你的”货物”即使被强盗截获了,人家也不知道这是什么东西。但是这东西不防内鬼!
