:攔截請求的那些軟件�����,例如Fiddler���,是怎么解碼https內(nèi)容的���?
不用去關(guān)心這些解密/加密的過程,因?yàn)?Fiddler 自始至終就沒有參與 “破解” 你的會話(請求)�����,而是 Fiddler “冒充” 了���,你與服務(wù)端進(jìn)行通信���,同時(shí)在服務(wù)端的視角里,F(xiàn)iddler “冒充”了你���,這就是常說的 中間人攻擊(MITM)��。
當(dāng)你使用 Fiddler 時(shí)����,必須要設(shè)置一個(gè)由 Fiddler 創(chuàng)建的代理��,安裝一個(gè)證書(對于 HTTPS 而言)��。
這個(gè)代理的作用毋庸置疑就是用 Fiddler 來轉(zhuǎn)發(fā)你的流量��。但是證書就不一樣了����,F(xiàn)iddler 為自己簽發(fā)了一張根證書,并且引導(dǎo)你安裝到了你的電腦中�����,現(xiàn)在 Fiddler ���,就可以冒充成任意一個(gè)服務(wù)端(域名���、甚至是 IP)。
現(xiàn)在當(dāng)你發(fā)起一個(gè)請求時(shí)����,實(shí)際上是你在請求 Fiddler。因?yàn)槟惆惭b了 Fiddler 簽發(fā)的證書�,所以 Fiddler 可以獲取并解密你的請求�。
然后 Fiddler 再把自己偽裝成你�����,把你發(fā)送的參數(shù)再發(fā)給真正的服務(wù)端����,這時(shí)候你可以把 Fiddler 就看成一個(gè)簡單的 cURL 或者 Postman 都可以,他們只是一個(gè)請求的工具�,他自然可以拿到響應(yīng),然后再順帶把響應(yīng)發(fā)給你就行�����。
而確保 HTTPS 安全最重要的一環(huán)就是本地信任的根證書�����,不要輕易導(dǎo)入不被信任的根證書���,因?yàn)樗梢悦俺淙魏稳?/strong>�����。
當(dāng)然�����,也有預(yù)防手段�����,比如 SSL Pinning����,但是瀏覽器內(nèi)的網(wǎng)頁不能使用�,一般用于 App 中。
擴(kuò)展閱讀:
最后補(bǔ)充一個(gè)來自 ChatGPT 的解釋吧����。
該文章在 2023/8/28 10:29:16 編輯過
400 186 1886
