我刚刚发现Fiddler可以解密HTTPS流量。
例如,我使用HTTPS在本地主机上部署了一个网站。当在Fiddler中检查数据包时,我能够查看所有信息,因为它有一个解密选项。
我的问题是,既然Fiddler可以轻松解密HTTPS,为什么要使用HTTPS?
例如,我使用HTTPS在本地主机上部署了一个网站。当在Fiddler中检查数据包时,我能够查看所有信息,因为它有一个解密选项。
我的问题是,既然Fiddler可以轻松解密HTTPS,为什么要使用HTTPS?
http://www.fiddler2.com/fiddler/help/httpsdecryption.asp
如果你不这样做,它将无法解密任何内容...这样做,您明确地开始信任由Fiddler的根证书签名的任何证书。现在,当您进行https请求时,Fiddler将与您执行中间人攻击。
假设您以https://google.com的形式发出请求。 Fiddler现在将充当实际的Google服务器,并为Google.com创建一个虚拟证书,并使用Fiddler的根证书对其进行签名。 您将收到已由Fiddler签名的此虚拟证书。由于Fiddler的根证书现在位于您的受信任证书中,因此此证书将通过设备的验证。现在,您的设备将通过安全的HTTPS连接与Fiddler进行通信。 Fiddler将将您的消息转发给Google.com,然后再发送回给您。 当然,Fiddler将能够解密它们。
需要注意的是,Fiddler到Google的流量将通过第二个安全的HTTPS通道进行。
因此,请不必担心https提供的安全性。