1
私は、Man-In-The-Middleアプローチを使用してFiddlerがHTTPSトラフィックをどのように復号化できるかを知っています。私は信用を信じているフィドラーのルート証明書にはリスクが伴い、その意味を理解することで責任を負うべきであると理解しています。ただし、従業員がFiddlerをインストールしてそのルート証明書を信頼するリスクがあります。この場合、組織のITセキュリティ部門はどのようにセキュリティを確保できますか?Fiddlerが許可されている場所でHTTPSトラフィックを本当に安全に保つにはどうすればいいですか?
(私はバイオリンや任意のプロキシインターセプターをインストールすることはできませんここでいくつかのポリシーを適用することができます。しかし、何がそのようなことが可能でない場合、IT企業自身に言う?)
「Fiddlerのルート証明書」が存在しないようになりました。 AFAIK Fiddlerは、インストールごとに新しい鍵と証明書を自動的に生成します。したがって、すべてのユーザーは、他のユーザーとは異なる独自の証明書を持っています。 – Robert
証明書のピン設定の使用https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning –