2

最近我读了很多关于安全连接和所有这些的东西。我的理解是,这不是关于加密,而是关于安全的端到端通信,中间没有人可以听到..

但现在我很困惑..这是场景。

我让 Fiddler 在后台运行。我已启用 https 解密。我正在登录我的 hotmail 帐户。给我的用户名密码并提交,登录。我回到 Fiddler 并检查了 POST 请求,我能够从请求正文中读取用户名和密码。

我不知道我是否错了..但这不应该是可能的吧?Hotmail 建立了安全连接,我可以使用 Fiddler 读取正文。所以使用任何其他高级工具,其他人可以轻松获得我的用户名密码???

请给我一些关于这种情况的见解。非常感谢。

4

1 回答 1

1

您基本上是在与提琴手合作,对自己发起中间人攻击。您信任 Fiddler 的证书,因此 Fiddler 然后充当代理并从您的角度假装是您正在与之交谈的网站(这是可能的,因为您信任 Fiddler 作为您的代理)。从 Hotmail 的角度来看,Fiddler 是在假装自己。

这仅是可能的,因为您信任 Fiddler。当然,还有关于流氓证书颁发机构的问题,但这完全是另一回事。

于 2013-11-06T06:01:06.150 回答