我正在檢查由WFC客戶端使用Fiddler發送和接收的HTTP流量。要做到這一點,我已經通過Windows證書商店添加了Fiddler根證書。我的問題是,當我需要再次測試時,是否有任何將此證書留在Windows存儲中的風險?攻擊可以利用它在那裏的事實嗎?我應該在完成測試後刪除它嗎?永久信任Fiddler根證書是否'安全'?
2
A
回答
3
由於證書是由Fiddler爲我的系統唯一生成的,即使對手知道我已經安裝了這樣的證書,他們也沒有辦法利用這一點。如果他們知道證書的唯一私鑰,那麼他們可能會對我使用這種私鑰,例如,通過中間人攻擊,但爲了證明他們需要滲透我的系統以獲取證書,那麼就沒有必要進行中間人攻擊了。
話雖如此,爲了保證安全,我已將證書安裝在單獨的Firefox配置文件中,專門用於Fiddler,因此在進行常規網上衝浪時,我的系統中沒有證書。
1
不,它不安全,是的你應該刪除它。
爲了方便調試,它的整個目的是打破SSL的安全性。
它的名字中甚至有「DO_NOT_TRUST」,這是有原因的。
-1
企業使用說明我在多個客戶端看到的包括使用Fiddler後的Cert拆除步驟。所以答案肯定是「是的,使用後請刪除證書」。
相關問題
- 1. 我如何永久信任SSL證書?
- 2. 'res'證書 - 是否安全?
- 3. 永久移動證書
- 4. 如何在機器根存儲中安裝Fiddler的根證書
- 5. Chrome不信任提琴手根證書
- 6. Tomcat服務器信任庫根證書
- 7. 在受信任的根證書庫上安裝SSL證書的腳本
- 8. filterFunction是否永久?
- 9. 安全證書
- 10. Apple APNS和「Entrust安全CA根證書」?
- 11. 在PhantomJS中安裝受信任的根證書
- 12. 受信任的根證書奇蹟般地安裝到Windows
- 13. C#不信任安裝的證書
- 14. WCF傳輸安全使用證書忽略鏈信任
- 15. OkHttp信任證書
- 16. Qt QWebView證書鏈的根證書是自簽名的,不受信任
- 17. 春季安全配置信息,以永久身份驗證請求
- 18. 信任所有證書? X509證書
- 19. GeoTrust是Android => 2.3中的受信任根證書之一嗎?
- 20. 信任庫中信任哪些證書?
- 21. 證書鏈的根證書是自簽名的,不可信的
- 22. 永久安全的方式裏面footer.php
- 23. Pyro信號是否安全?
- 24. Botkit和https安全端點是否是強制性證書?
- 25. 是否可以驗證自簽名證書和可信證書?
- 26. 驗證Mono(OS X信任根)上的x509證書
- 27. Android不信任證書
- 28. 信任的SSL證書
- 29. Android HttpsURLConnection信任證書
- 30. Websphere不信任的證書
如果它是一個本地生成的小提琴手證書,不會擔心太多,除非您希望某人破解進入您的系統,竊取證書的私鑰,然後開始用其他方式簽名。但是,您可以進入證書工具,並且不允許將證書用於除HTTP以外的任何其他用途。 –