我正在使用gmail,但我需要在访问第一个网页时为代理输入密码。密码是从浏览器内部询问的。我从代理收到证书,我必须接受该证书才能使Internet连接正常工作。
在这种情况下,可以跟踪gmail和浏览器之间的HTTPS连接吗?
答案 0 :(得分:11)
Fiddler描述如下:
问:HTTPS协议旨在防止流量查看和篡改。鉴于此,Fiddler2如何调试HTTPS流量?
答:Fiddler2依赖于“拦截”的“中间人”方法。在您的Web浏览器中,Fiddler2声称是安全的Web服务器,而对于Web服务器,Fiddler2模仿Web浏览器。为了假装是Web服务器,Fiddler2动态生成HTTPS证书。
Fiddler的证书不受您的Web浏览器信任(因为Fiddler不是受信任的根证书颁发机构),因此当Fiddler2拦截您的流量时,您会在浏览器中看到HTTPS错误消息,如下所示:
答案 1 :(得分:11)
跟踪?即使https加密流量,你仍然知道双方的IP地址(gmail和浏览器)。 HTTPS并没有解决这个问题,但是加密的另一种融合创建了The Onion Router(TOR),这使得无法找到服务器和客户端。
在“正常”条件下,当攻击者尝试使用MITM HTTPS时,您的浏览器应该抛出证书错误。这是由PKI支持的SSL的全部要点。 HOWEVER 在2009年,Moxie Marlenspike发表了一个杀手级的黑帽谈话,他在没有任何警告的情况下能够使用MITM HTTPS。他的工具名为SSLStrip,我强烈建议您观看该视频。
Google开发了一个很好的SSLStrip解决方案。它名为STS,你应该在你的网络应用程序的所有上启用它。目前sts仅受Chrome支持,但Firefox正在努力支持此功能。最终所有浏览器应该支持它。
答案 2 :(得分:2)
是的,他们可以。您可以通过下载Fiddler并使用它来解密https流量来自行查看。提琴手发行自己的证书,并在中间扮演一名男子。您需要在浏览器中查看证书,看看它是否实际上是由gmail发布的。
答案 3 :(得分:1)
似乎重新谈判是TSLv1的弱点(见TLS renegotiation attack. More bad news for SSL)。
答案 4 :(得分:0)
正如其他答案(同时阅读here)所指出的那样,这实际上是“在中间”(即不包括捕获发生在其中一个端点,浏览器内或在Web服务器内部),必须设置某种代理,谁对您的浏览器和服务器说话,假装两者都是另一方。但是你的浏览器(和ssl)足够智能,可以意识到代理发送给你的证书(“说:我是gmail”)是非法的,即没有受信任的根证书颁发机构签名。然后,仅当用户明确接受该不受信任的证书,或者代理使用的CA已插入其浏览器中的受信任CA注册表时,此操作才会起作用。
总之,如果用户使用干净/可信的浏览器安装,并且如果他拒绝不受信任的权限颁发的证书,则“中间”的人无法解密https通信。
答案 5 :(得分:-1)
无法在gmail网络服务器和您的电脑之间进行跟踪,但一旦它在电脑内部,就可以跟踪它。我不明白两个人如何声称可以使用mitm跟踪https,因为https的整个目的是防止此类攻击。
重点是所有HTTP级别的消息都是加密的,并且是mac-ed。由于证书信任链,您不能伪造证书,因此不应该在中间执行一个人。
那些声称有可能的人,请您详细说明可行的方式和原因以及如何规避现有的对策?