我希望使用 Fiddler 来检查 WCF 客户端发送和接收的 HTTP 流量。为此,我已将 Fiddler 根证书添加到 Windows 证书存储中。
我的问题是:如果我留下这个证书,以备日后再次测试是否存在任何风险?攻击者能否利用它存在的这一事实?完成测试后,我应该将其删除吗?
4个回答
22
由于证书是由Fiddler为我的系统独特生成的,即使攻击者知道我安装了这样的证书,他们也无法利用它。如果他们知道证书的唯一私钥,他们可能会通过中间人攻击来利用它,但此时他们需要渗透我的系统以获取证书,此时就不需要进行中间人攻击。
话虽如此,为了更加安全,我已经在专门用于使用Fiddler的单独Firefox配置文件中安装了该证书,这样在进行一般的网络浏览时就不会在系统中拥有该证书。
- Dan Stevens
10
来自Fiddler FAQs
有什么风险?
许多安全专家担心,如果用户配置Windows信任Fiddler的根证书,则该用户的流量可能会被任何其他Fiddler用户拦截和解密。他们认为Fiddler在所有安装中共享同一根证书。
别担心!每个Fiddler根证书都是独特生成的,针对每个用户、每台机器。没有两个Fiddler安装具有相同的根证书。只有当坏人已经在用户帐户内运行代码时(这意味着您已经被攻击了),Fiddler用户才会被“欺骗”。
- The Gilbert Arenas Dagger
-1
我在多个客户处看到的企业使用说明中都包括在使用 Fiddler 后进行证书删除步骤。因此,答案肯定是“是的,在使用后请删除证书。”
- buzzAZ
-5
不,这是不安全的,是的,你应该将其移除。
它的整个目的就是为了方便调试而破坏SSL的安全性。
它甚至在名称中有“DO_NOT_TRUST”,有充分的理由。
- Jon Hanna
3
5这是错误的,请不要假设这个人的高声誉意味着他在这个答案上是正确的。每个密钥都是唯一生成的,不存在安全问题。请自行查看Fiddler的常见问题解答:https://www.telerik.com/blogs/faq---certificates-in-fiddler - charleswj81
3我认为“DO_NOT_TRUST”警告是为了防止证书被用于与其原始用途不符的上下文中。比如,如果有人故意或者错误地将其设置为Web服务器的SSL证书。如果这种情况可能发生,那么会很糟糕,用户应该受到警告,不要相信它。 - Dan Stevens
3OP说:“我想检查HTTP流量”,而telerik已经明确表示,对于检查目的来说它是完全安全的,我的理解是,对于生产环境来说它是不安全的,这就是为什么它在名称中有“DO_NOT_TRUST”的原因。 - Bizhan
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接