我有一个使用传输和消息安全的 WCF 服务。如何保护数据免受恶意中间人攻击,例如来自使用 fiddler 并允许 fiddler 解密 HTTPS 流量的用户?
问问题
1199 次
1 回答
3
Fiddler 文档中已涵盖该主题。您可以使用 Fiddler 来嗅探来自您可以物理访问的各方的消息。鉴于您不向恶意用户提供物理访问权限,您将受到传输和消息安全性的保护。
问:Fiddler2 是否展示了 HTTPS 的缺陷?
答:不可以。HTTPS 依赖证书来保护 Web 流量。Web 浏览器依靠受信任的根证书颁发机构颁发保护流量的证书来防止中间人攻击。按照设计,当流量不受受信任根颁发的证书保护时,Web 浏览器将显示警告。
编辑
这是来自另一个相关的答案
传输安全仅提供点对点通道安全。这意味着HTTPS只在客户端和暴露给客户端的服务器之间建立安全通道。但是如果这个服务器只是一个负载平衡器或代理服务器,它可以直接访问消息的内容。
消息安全提供端到端的通道安全。这意味着安全性是传输数据的一部分,只有预期的目的地才能解密数据(负载平衡器或代理只能看到加密的消息)。在大多数情况下,消息安全也使用证书来提供加密和签名,但通常速度较慢,因为传输安全可以使用硬件加速。
于 2011-09-02T17:10:11.937 回答