Снайпер (Fiddler), я могу проверить поток, отправленный через мой компьютер в сеть. Удивительно, но я обнаружил, что когда я вхожу в учетную запись google (https), пароль отправляется в ясном тексте, например.Почему пароль учетной записи передается без шифрования
POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1
...
[email protected]&**Passwd=12345678**
Мой вопрос: почему пароль передается без шифрования даже с протоколом https?
HTTPS шифрует весь запрос и отклик.
Однако вы говорите, что Fiddler расшифровывается с использованием ненадежного корневого сертификата.
Другими словами, вы MITMing самостоятельно и сообщаете браузеру игнорировать ненадежный сертификат.
Нет, пароль не отправляется без шифрования в Google как чистый текст. Google использует SSL, не волнуйтесь. Но вы установили Fiddler на свой компьютер. Когда вы это сделали, Fiddler зарегистрировал на вашем компьютере определенный сертификат уровня корня и способен расшифровывать трафик между вашим веб-браузером и Интернетом. Установив Fiddler, вы явно предоставили этому приложению возможность расшифровать трафик. Итак, любой, кто может получить доступ администратора к ПК, может установить на этом компьютере сертификат корневого уровня и, следовательно, способен расшифровать весь трафик между этим ПК и Интернетом. Чего ты ожидал? Как вы думаете, что трояны работают?
Но любые атаки типа «человек в середине» не будут работать, потому что они не смогут расшифровать трафик SSL между вашим веб-браузером и Интернетом.
Спасибо Дарин. Я понимаю, что браузер (прикладной уровень) отправляет чистый текст, который записывается Fiddler, а затем SSL шифрует чистый текст, поэтому, наконец, поток данных в сети - это все зашифрованные данные. Это правда? – buaaji
Нет, ваше понимание совершенно неверно. Позвольте мне объяснить, как работает Fiddler. Когда вы запускаете Fiddler, он регистрирует WebProxy в вашем WebBrowsr (да, посмотрите настройки прокси-сервера вашего браузера), поэтому ваш браузер сначала отправляет весь трафик зарегистрированному прокси. И поскольку Fiddler зарегистрировал сертификат корневого уровня при его установке, он может расшифровать этот трафик, отправленный веб-браузером. Вот почему вы можете видеть свой пароль в открытом тексте в Fiddler ->, потому что вы явно предоставили Fiddler возможность сделать это, установив его. –
Итак, когда вы пишете 'https: // www.google.com' в адресной строке вашего веб-браузера, так как Fiddler зарегистрирован как прокси-сервер, этот запрос ** NOT ** отправляется браузером на' google.com'. Он отправляется на 'http: // localhost: 8080', где Fiddler слушает. Он имеет соответствующий корневой сертификат уровня, установленный в вашем браузере, и расшифровывает трафик, чтобы показать его в пользовательском интерфейсе. Затем он отправляет его в Google. Теперь вы понимаете, как Fiddler может получить ваш пароль в открытом виде? –
Где вы видите эту информацию в Fiddler? Какой вариант следует выбрать для просмотра этой информации? – wuhcwdc