最近我读了很多关于安全连接和所有内容的内容。我所理解的是,它不是关于加密,而是关于一个安全的端到端通信,中间没有人可以听。
但现在我很困惑..这是场景。
我让Fiddler在后台运行。我启用了https解密。我正在登录我的hotmail帐户。给我的用户名密码并提交,登录。我回到Fiddler并检查了POST请求,我能够从请求正文中读取用户名和密码。
我不知道我错了..但这不应该是对的吗? Hotmail建立了一个安全的连接,我能够用Fiddler读取身体。因此,使用任何其他高级工具,其他人可以轻松获取我的用户名密码???
请给我一些关于这种情况的见解。 非常感谢。
答案 0 :(得分:1)
你基本上是与小提琴手合作,发动了一个针对你自己的中间人攻击。你信任Fiddler的证书,所以Fiddler然后充当代理人并假装成你正在谈论的网站,从你的角度来看(这是可能的,因为你已经信任Fiddler作为你的代理人)。从Hotmail的角度来看,Fiddler假装是你。
这是唯一可能的,因为你信任Fiddler。当然,存在关于流氓证书颁发机构的问题,但这完全是另一回事。