Я только что обнаружил, что Fiddler может расшифровать трафик HTTPS.
Например, я развернул сайт на localhost с помощью HTTPS. При проверке пакетов данных в Fiddler я смог просмотреть всю информацию, так как у нее есть возможность ее расшифровать.
Мой вопрос: зачем использовать HTTPS, когда Fiddler может легко расшифровать его?
Fiddler выполняет метод MITM.
Чтобы он работал, вам нужно доверять его сертификату:
http://www.fiddler2.com/fiddler/help/httpsdecryption.asp
Если вы этого не сделаете, он ничего не расшифрует...
как Fiddler2 отлаживает трафик HTTPS?
A: Fiddler2 полагается на подход "человек-в-середине" к HTTPS перехват. В своем веб-браузере Fiddler2 утверждает, что он защищен веб-сервер и веб-сервер, Fiddler2 имитирует веб-браузер. Чтобы притвориться веб-сервером, Fiddler2 динамически генерирует сертификат HTTPS.
Сертификат Fiddler не поддерживается вашим веб-браузером (с тех пор Fiddler не является доверенным корневым центром сертификации), и, следовательно, в то время как Fiddler2 перехватывает ваш трафик, вы увидите ошибку HTTPS сообщение в вашем браузере [...]
Чтобы расшифровать трафик HTTPS, вы должны сначала установить корневой сертификат Fiddler в список "доверенные/корневые сертификаты". Корневой сертификат Fiddler НЕ является корневым сертификатом, который по умолчанию поставляется с вашей операционной системой. OS обычно предупреждает вас, когда вы пытаетесь установить это.
При этом вы явно доверяете любому сертификату, подписанному корневым сертификатом Fiddler. Когда вы теперь делаете запрос https, Fiddler будет выполнять Man в средней атаке с вами.
Предположим, вы сделали запрос в форме https://google.com. Fiddler теперь будет действовать как фактический сервер Google и создаст фиктивный сертификат для Google.com и подпишет его с помощью сертификата Fiddler Root. Вы получите этот фиктивный сертификат, подписанный Fiddler. Этот сертификат будет проходить проверку вашего устройства, поскольку сертификат Fiddler Root теперь находится в ваших доверенных сертификатах. Теперь ваше устройство начнет общаться с Fiddler через безопасное соединение HTTPS. Fiddler передаст ваши сообщения на Google.com и вернется к вам. Конечно, Fiddler сможет их расшифровать.
Следует отметить, что трафик с Fiddler на Google произойдет через второй Secure https-канал.
Поэтому не стоит беспокоиться о безопасности, предоставляемой https.