1

我知道 Fiddler 如何使用 Man-In-The-Middle 方法解密 HTTPS 流量。我了解信任 Fiddler 的根证书会带来风险,人们应该通过了解其含义来负责任地信任它。但是,它会让您面临员工安装 Fiddler 并信任其根证书的风险。在这种情况下,组织的 IT 安全部门如何确保安全?

(我可以强制执行一些不允许安装 Fiddler 或任何代理拦截器的策略。但如果这样的事情是不可能的,比如说在 IT 公司本身呢?)

4

1 回答 1

0

如评论中所述,提琴手在每次安装时使用不同的密钥,因此您只能对自己(或信任您的人)进行授权。

但是如果你的 fiddlers 私钥被泄露,那么信任它的人只能通过删除证书来保存。

由于 HPKP 对用户受信任的根禁用,因此固定不会有用。

结论是:您是安全的,只需将您的私钥保密!

于 2016-04-17T20:26:52.633 回答