我有一个使用传输和消息安全的WCF服务。如果有人使用Fiddler并允许Fiddler解密HTTPS流量,我该如何保护数据免受恶意中间人攻击?
1个回答
3
这个主题在Fiddler文档中有介绍。您可以使用Fiddler来嗅探您可以物理访问的参与方之间的消息。只要您不向恶意用户提供物理访问权限,您就受到传输和消息安全保护。
问:Fiddler2是否展示了HTTPS的缺陷?
答:不是。 HTTPS依赖证书来保护Web流量。 Web浏览器通过依靠受信任的根证书颁发机构来发出证书以保护流量,从而防止中间人攻击。按设计,当流量未受由受信任的根颁发的证书保护时,Web浏览器将显示警告。
编辑
这是另一个相关答案
传输安全仅提供点对点通道安全。这意味着HTTPS仅在客户端和暴露给客户端的服务器之间建立安全通道。但是,如果此服务器只是负载均衡器或代理服务器,则可以直接访问消息的内容。
消息安全提供端到端通道安全。这意味着安全性是传输的数据的一部分,只有预期的目标才能解密数据(负载均衡器或代理仅查看加密的消息)。在大多数情况下,消息安全也使用证书提供加密和签名,但通常速度较慢,因为传输安全可以使用硬件加速。
- oleksii
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接