有人可以查看使用提琴手通過https進行的數據嗎？

有人請告訴我這是不正確的。閱讀this鏈接，看起來像一個可以通過提琴手去加密https流量。這是否意味着如果我通過https進行網上銀行業務，那麼可以攔截此流量的人可以閱讀我的帳戶並鎖定關鍵信息？有人可以查看使用提琴手通過https進行的數據嗎？

2012-02-27 palm snow

提琴手將充當，使用自己的SSL證書，從而觸發瀏覽器警告。如果您適當地被這些警告所嚇倒，沒有人會在您的網上銀行會話中窺探。 enter image description here

有關工作原理的更多信息，請閱讀public-key cryptography。

2012-02-27 21:57:01 grossvogel

我的概念可能完全錯誤，但我認爲只能通過在客戶端計算機上匹配證書來阻止流量。如果fiddler擁有自己的證書，它如何解密通過不同證書加密的流量 – 2012-02-27 22:01:02

實際上，Fiddler將（至少在默認情況下啓用HTTPS時）在IE的證書存儲區中安裝根證書，因此不會顯示任何警告，至少在Internet Explorer中。 – 2012-02-27 22:13:49

@JoachimIsaksson：哦...我沒有意識到這一點。謝謝。 – grossvogel 2012-02-27 22:39:15

您必須接受由fiddler發佈的ssl證書，但是您可以使用fiddler監控ssl流量。如果您深入挖掘，可以使用更復雜的MITM攻擊工具，例如：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

2012-02-27 21:55:44 Andreas

不知道我是否得到它。銀行將擁有由CA頒發的不同證書。提琴手可以使用該證書嗎？或者如果提琴手有自己的證書，那麼如何才能查看由銀行使用的不同證書加密的數據？ – 2012-02-27 21:58:19

Fiddler使用從您的在線銀行帳戶獲得的證書在fiddler和您的ssl安全在線銀行頁面（@grossvogel已發佈技術細節）之間建立ssl連接。 Fiddler比使用自簽名證書將捕獲的流量傳回瀏覽器，以便瀏覽器顯示ssl加密連接。 – Andreas 2012-02-27 22:20:47

Fiddler要求您安裝特殊的SSL根證書，以便能夠偵聽HTTPS流量。一旦你安裝它，Fiddler可以將自己安裝爲代理（中間人），假裝它是互聯網上的每個HTTPS站點。總之，是的，它可以通過HTTPS監聽的所有內容，但您需要首先在您的機器上手動安裝證書以允許它。

從理論上講，你安裝在你的機器上的任何根證書 - 無論是否是Fiddler - 都將允許生成它的人冒充任何Internet站點，所以從不考慮分支。

用SSL術語來說，Fiddler所做的就是將自己安裝爲您計算機上的證書頒發機構。當您訪問作爲中間人的HTTPS站點時，它會迅速生成聲稱爲該網站的證書。由於根證書在您的機器上，因此它將信任提琴手的證書，並樂意讓它解密所有內容。

2012-02-27 22:01:31

回答