2
誰かが、これが正しくないと教えてください。リンクthisを読むと、フィドラー経由でHTTPSトラフィックを暗号化解除できるようです。私がhttps経由でオンラインバンキングを行っているのであれば、このトラフィックを傍受して自分のアカウントを読み取って重要な情報を読み取ることができる人ですか?誰かがフィドラーを使ってhttpsを通過するデータを見ることができますか?
A
答えて
3
Fiddlerは独自のSSL証明書を使用してブラウザの警告をトリガーします:あなたがこれらの警告によって適切に抑止されている場合、誰もあなたのオンラインバンキングセッションを知りません。 
この機能の詳細については、public-key cryptographyを参照してください。
0
fiddlerが発行したssl証明書を受け入れる必要がありますが、はい、siddlトラフィックをfiddlerで監視できます。少し深く掘り下げてみると、MITM攻撃のためのより洗練されたツールがあります:https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
+0
私はそれを得るかどうかわかりません。銀行はCAから発行された別の証明書を持っています。フィドラーはその証明書を使用できますか?または、フィドラーが独自の証明書を持っている場合、銀行が使用する別の証明書で暗号化されたデータを表示するために、どのように使用できますか? –
+0
Fiddlerは、オンラインバンキングアカウントから取得した証明書を使用して、フィドラーとあなたのSSLで保護されたオンラインバンキングページ間のSSL接続を構築します(@ grossvogelは既に技術情報を投稿しています)。 Fiddlerは、自己署名証明書を使用してキャプチャされたトラフィックをブラウザに戻し、ブラウザにSSL暗号化された接続が表示されるようにします。 – Andreas
6
Fiddlerでは、HTTPSトラフィックを受信できる特別なSSLルート証明書をインストールする必要があります。それをインストールすると、Fiddlerはインターネット上のすべてのHTTPSサイトであると見なして、プロキシ(仲介者)として自身をインストールできます。一言で言えば、それはHTTPSを介してすべてを聞くことができますが、許可するには手動で証明書を手動でインストールする必要があります。
理論上、あなたのマシンにインストールするルート証明書(Fiddlerかどうか)によって、インターネットサイトを偽装することができます。
FiddlerはSSLの用語として、自分のマシンに認証局としてインストールされます。仲介業者として機能しているHTTPSサイトにアクセスすると、問題のサイトであると主張する証明書がすぐに生成されます。ルート証明書はあなたのマシン上にあるので、Fiddlerの証明書を信頼し、すべてを解読できるようにします。
関連する問題
- 1. 誰かがラケットの店を通り過ぎる様子を説明することはできますか?
- 2. 誰かがpsql 8.xをどこに見つけることができるか知っていますか?
- 3. 私のシングルトンは誰が見ることができますか?
- 4. 誰かが私が間違っていることをどこに伝えることができますか?
- 5. 誰かが私のループを見ることができますか?
- 6. 誰かが私を助けることができますか?
- 7. 私のアプリで誰が過ごしている時間を知ることができますか?
- 8. 誰もこのMySQLユーザログインでエラーを見ることができますか?
- 9. ctx.createPatternは、誰かがこれを見て持ってくださいすることができ
- 10. Git push - 私のプロジェクトのコードを誰が見ることができますか?
- 11. このGetCardinalityメソッドがやっていることを誰かに説明することはできますか?
- 12. 誰が特権を与えることができますか?
- 13. 多分誰かが見逃しているものを見ることができます(デバッグケース、C++、関数ポインタ)
- 14. テレグラムで誰かと持っていたチャットメッセージをAPIを使って得ることはできますか?
- 15. 誰かがこのHaskell関数(State Monad関連)を通して私を歩くことができますか?
- 16. 誰かがデータベースのハードドライブを盗んだり、アカウントとパスワードを持っていない場合は、データを見ることができますか?
- 17. 誰かがこれを訂正することができますか?
- 18. 誰かがこのマップで私を助けることができますか?
- 19. 誰かがこのエラーで私を助けることができますか?
- 20. 誰かがこのJQuery JSONPが動作しない理由を見ることができますか?
- 21. データがajaxリクエストを通過する
- 22. テーブルビューのデータがモデルクラスを通過する
- 23. 誰かがこのクッキー/フォームのリダイレクトが行っていることを要約できますか?
- 24. 誰かがビューが終了したときにデータを保存する方法を知っていますか?
- 25. ポップバックを使ってデータを渡すことができますか?
- 26. 誰かがこのコードでエラーを見つけることができますか?
- 27. 誰かがオブジェクトに使用できるJavascript Quicksortを持っていますか?
- 28. 誰かがRubyを使ってMySQL 5.1を使用できますか?
- 29. QUdpSocketを使ってQTcpServerと通信することはできますか?
- 30. 誰かが説明することができます
私のコンセプトはまったく間違っているかもしれませんが、トラフィックをクライアントマシン上の証明書と一致させることによってのみ抽出できます。 fiddlerに独自の証明書がある場合、別の証明書で暗号化されたトラフィックをどのように復号化することができますか –
実際にFiddlerは(少なくともHTTPSを有効にすると、デフォルトでは)ルート証明書をIEの証明書ストアにインストールします。 、少なくともInternet Explorerで。 –
@ JoachimIsaksson:ああ...私はそれを知らなかった。ありがとう。 – grossvogel