通过嗅探器(提琴手),我可以检查通过我的 PC 发送到网络的流。令人惊讶的是,我在登录 google 的帐户(https)时发现,密码是以明文形式发送的,例如
POST https://accounts.google.com/ServiceLoginAuth HTTP/1.1
...
Email=abc@gmail.com&**Passwd=12345678**
我的问题是:为什么即使使用 https 协议,密码也没有加密传递?
HTTPS 对整个请求和响应进行加密。
但是,您告诉 Fiddler 使用不受信任的根证书进行解密。
换句话说,你是在给自己做 MITMing,并告诉浏览器忽略不受信任的证书。
不,密码不会在未经加密的情况下以明文形式发送给 Google。谷歌正在使用 SSL,不用担心。但是您在 PC 上安装了 Fiddler。当您这样做时,Fiddler 在您的计算机上注册了一个特定的根级别证书,并且能够解密您的 Web 浏览器和 Internet 之间的流量。通过安装 Fiddler,您明确授予此应用程序解密流量的可能性。所以,是的,任何能够获得对 PC 的管理员访问权限的人都能够在这台 PC 上安装根级别证书,从而能够解密这台 PC 和互联网之间的所有流量。你期待什么?你认为木马如何运作?
但是任何中间人攻击都不起作用,因为它们无法解密您的网络浏览器和互联网之间的 SSL 流量。