我最近一直在研究HTTPS,以及它的安全性。https的安全性如何?
我去了一個擁有有效證書並輸入我的用戶名和密碼的https站點。使用Fiddler,我解密了單擊提交按鈕後出現的請求,並且在包含鍵值對的字符串(這不是查詢字符串,它是帖子值)的純文本中有我的用戶名和密碼。
任何人都可以啓發我,爲什麼HTTPS被認爲是安全的,當我很容易使用外部應用程序獲取用戶名和密碼?我的意思是這是非常即時的解密,肯定黑客可以使用一個應用程序來找出你正在製作的請求和解密,不是嗎?
HTTPS是在中間溝通點至點,沒有任何人能夠在聽一個相當安全的方式。
原因提琴手可以解密流量是它擁有哪些證書瀏覽器信任的控制。一個證書基本上是一個「保證」,你所說的網站是它自稱的網站,因爲Fiddler可以把它自己的證書放入瀏覽器,它可以說服瀏覽器說它是任何網站。
通常,瀏覽器只有來自證書頒發機構(如Verisign,Thawte,Geotrust)的證書,他們的工作是確認每個網站實際上是他們所說的人。只要您信任證書頒發機構(they have made mistakes),並且沒有人向您的瀏覽器添加虛假證書,則幾乎可以相信沒有人收聽。
如果您正在尋找某種「數學安全「,HTTPS是不是。爲了使通信易於設置,您還必須相信有人而不是另一端的人。
感謝Joachim。我忘了我不得不相信小提琴手的證書。很好,簡短,易於理解的答案。 :) – ClarkeyBoy
接受這個作爲一個答案 – badunk
對不起,意味着接受這個作爲一個答案很久以前,剛剛很耽誤了過去幾個星期。 – ClarkeyBoy
我完全同意約阿希姆Isaksonn。只是想添加幾件事:
1)SSL安全性取決於使用的RSA密鑰的長度。更長的鑰匙更安全。一般來說1024位仍是大多數情況下夠用了,2048位是已知的分解方法的所有資源牢不可破世界
http://en.wikipedia.org/wiki/RSA_Factoring_Challenge
2)SSL安全還取決於用戶。如果你去一些網站,它說「證書不匹配」,你點擊忽略,你有麻煩(出於同樣的原因,爲什麼小提琴手可以解密流量)
看起來你對HTTPS持懷疑態度,因爲你用Fiddler取得了什麼。我會盡量簡潔地回答你的問題。
你之所以能夠做到這一點的原因是因爲你在中間人身上掛載了一名男子,其中提琴手是MiTM。您一定注意到瀏覽器會發出關於證書不安全的警告。事實證明,這個證書是Fiddler自己的證書。所以你的瀏覽器連接到提琴手和提琴手連接到預期的服務器和提琴手中繼流量(行爲像代理)。這正是您能夠看到您的流量的原因。您的瀏覽器使用Fiddler的公鑰加密數據,提琴手使用其私鑰解密數據以向您顯示。這與'HTTPS'不安全無關。只要用戶足夠小心,瀏覽器發出警告,HTTPS就可以被認爲是安全的。與往常一樣,最薄弱的環節這裏的用戶。
希望我能+2 ..很好的答案,特別是關於用戶最薄弱的環節! – ClarkeyBoy
取決於密鑰的長度。通常,只要NP!= P並且周圍沒有數字計算機,就非常安全。對於RSA搜索維基百科的更多信息 – lolopop
可能重複【如何安全通過HTTPS發送敏感數據?](http://stackoverflow.com/questions/190771/how-secure-is-sending-sensitive-data-over-https ) –
不是重複的 - 在我的問題中,我舉了一個例子,說明爲什麼我不認爲它是安全的。另一個問題在2008年被問到,我不確定Fiddler是否在當時如此,如果不是,那個問題可能會過時。 – ClarkeyBoy