2
我正在檢查由WFC客戶端使用Fiddler發送和接收的HTTP流量。要做到這一點,我已經通過Windows證書商店添加了Fiddler根證書。我的問題是,當我需要再次測試時,是否有任何將此證書留在Windows存儲中的風險?攻擊可以利用它在那裏的事實嗎?我應該在完成測試後刪除它嗎?永久信任Fiddler根證書是否'安全'?
A
回答
3
由於證書是由Fiddler爲我的系統唯一生成的,即使對手知道我已經安裝了這樣的證書,他們也沒有辦法利用這一點。如果他們知道證書的唯一私鑰,那麼他們可能會對我使用這種私鑰,例如,通過中間人攻擊,但爲了證明他們需要滲透我的系統以獲取證書,那麼就沒有必要進行中間人攻擊了。
話雖如此,爲了保證安全,我已將證書安裝在單獨的Firefox配置文件中,專門用於Fiddler,因此在進行常規網上衝浪時,我的系統中沒有證書。
1
不,它不安全,是的你應該刪除它。
爲了方便調試,它的整個目的是打破SSL的安全性。
它的名字中甚至有「DO_NOT_TRUST」,這是有原因的。
-1
企業使用說明我在多個客戶端看到的包括使用Fiddler後的Cert拆除步驟。所以答案肯定是「是的,使用後請刪除證書」。
相關問題
- 1. 'res'證書 - 是否安全?
- 2. 永久移動證書
- 3. Chrome不信任提琴手根證書
- 4. Tomcat服務器信任庫根證書
- 5. 在PhantomJS中安裝受信任的根證書
- 6. WCF傳輸安全使用證書忽略鏈信任
- 7. 春季安全配置信息,以永久身份驗證請求
- 8. 信任所有證書? X509證書
- 9. GeoTrust是Android => 2.3中的受信任根證書之一嗎?
- 10. 信任庫中信任哪些證書?
- 11. 證書鏈的根證書是自簽名的,不可信的
- 12. Pyro信號是否安全?
- 13. Botkit和https安全端點是否是強制性證書?
- 14. Android不信任證書
- 15. 信任的SSL證書
- 16. ADFS錯誤:證書鏈的根不是受信任的根證書頒發機構
- 17. SSL證書和cURL:證書包或不受信任的證書?
- 18. 自簽名證書和根CA證書是否相同?
- 19. 檢查電話上是否安裝了verisign根證書
- 20. 信任庫是否需要sub-ca證書?
- 21. pthread_cond_wait是否完全信號安全?
- 22. 安全證書問題
- 23. 存儲API證書安全
- 24. 數字證書安全
- 25. 證書WCF消息安全
- 26. WCF,安全和證書
- 27. IceCast SSL證書不安全
- 28. 幫助 - MVC證書安全
- 29. SOAP安全標題 - 證書?
- 30. 使用應用程序證書保證JMS通信的安全
如果它是一個本地生成的小提琴手證書,不會擔心太多,除非您希望某人破解進入您的系統,竊取證書的私鑰,然後開始用其他方式簽名。但是,您可以進入證書工具,並且不允許將證書用於除HTTP以外的任何其他用途。 –