:攔截請求的那些軟件�����,例如Fiddler�����,是怎么解碼https內(nèi)容的?
不用去關(guān)心這些解密/加密的過程����,因為 Fiddler 自始至終就沒有參與 “破解” 你的會話(請求),而是 Fiddler “冒充” 了�,你與服務(wù)端進(jìn)行通信,同時在服務(wù)端的視角里����,F(xiàn)iddler “冒充”了你,這就是常說的 中間人攻擊(MITM)��。
當(dāng)你使用 Fiddler 時��,必須要設(shè)置一個由 Fiddler 創(chuàng)建的代理��,安裝一個證書(對于 HTTPS 而言)。
這個代理的作用毋庸置疑就是用 Fiddler 來轉(zhuǎn)發(fā)你的流量�。但是證書就不一樣了,F(xiàn)iddler 為自己簽發(fā)了一張根證書�����,并且引導(dǎo)你安裝到了你的電腦中��,現(xiàn)在 Fiddler �,就可以冒充成任意一個服務(wù)端(域名、甚至是 IP)�����。
現(xiàn)在當(dāng)你發(fā)起一個請求時����,實際上是你在請求 Fiddler。因為你安裝了 Fiddler 簽發(fā)的證書���,所以 Fiddler 可以獲取并解密你的請求��。
然后 Fiddler 再把自己偽裝成你��,把你發(fā)送的參數(shù)再發(fā)給真正的服務(wù)端�,這時候你可以把 Fiddler 就看成一個簡單的 cURL 或者 Postman 都可以,他們只是一個請求的工具����,他自然可以拿到響應(yīng),然后再順帶把響應(yīng)發(fā)給你就行�。
而確保 HTTPS 安全最重要的一環(huán)就是本地信任的根證書,不要輕易導(dǎo)入不被信任的根證書����,因為他可以冒充任何人。
當(dāng)然�����,也有預(yù)防手段��,比如 SSL Pinning����,但是瀏覽器內(nèi)的網(wǎng)頁不能使用���,一般用于 App 中���。
擴(kuò)展閱讀:
最后補(bǔ)充一個來自 ChatGPT 的解釋吧�����。
該文章在 2023/8/28 10:29:16 編輯過
400 186 1886
