Je viens de découvrir que Fiddler peut décrypter le trafic HTTPS.
Par exemple, j'ai déployé un site Web sur localhost en utilisant HTTPS. Lors de l'inspection des paquets de données dans Fiddler, j'ai pu voir toutes les informations car il a une option pour les décrypter.
Ma question est, pourquoi utiliser HTTPS alors que Fiddler peut facilement le décrypter?
Fiddler exécute une technique MITM
.
Pour le faire fonctionner, vous devez faire confiance à son certificat:
http://www.fiddler2.com/fiddler/help/httpsdecryption.asp
Sinon, il ne déchiffrera rien ...
comment Fiddler2 peut-il déboguer le trafic HTTPS ?
R: Fiddler2 s'appuie sur une approche "homme au milieu" pour l'interception HTTPS. Pour votre navigateur Web, Fiddler2 prétend être le serveur Web sécurisé et pour le serveur Web, Fiddler2 imite le navigateur Web. Afin de prétendre être le serveur Web, Fiddler2 génère dynamiquement un certificat HTTPS.
Le certificat de Fiddler n'est pas approuvé par votre navigateur Web (puisque Fiddler n'est pas une autorité de certification racine de confiance), et donc pendant que Fiddler2 intercepte votre trafic, vous verrez un message d'erreur HTTPS dans votre navigateur [...]
Afin de déchiffrer le trafic HTTPS, vous devez d'abord installer le certificat racine du violoneur dans votre liste "certificats de confiance/racine". Le certificat racine de Fiddler est [~ # ~] et non [~ # ~] un certificat racine fourni par défaut avec votre système d'exploitation. Le système d'exploitation vous avertit généralement lorsque vous essayez de l'installer.
Ce faisant, vous commencez explicitement à approuver tout certificat signé par le certificat racine de Fiddler. Lorsque vous faites maintenant une demande https, Fiddler effectuera avec vous une attaque Homme au milieu.
Supposons que vous fassiez une demande sous la forme https://google.com . Fiddler agira désormais comme le serveur Google réel et créera un certificat factice pour Google.com et le signera à l'aide du certificat racine de Fiddler. Vous recevrez ce certificat factice signé par Fiddler. Ce certificat passera la validation de votre appareil puisque le certificat racine de Fiddler est maintenant dans vos certificats de confiance. Maintenant, votre appareil commencera à communiquer avec Fiddler via une connexion HTTPS sécurisée. Fiddler transmettra vos messages à Google.com et vous reviendra. Bien sûr, Fiddler pourra les décrypter.
Il est à noter que le trafic de Fiddler vers Google passera par un second canal Secure https.
Par conséquent, ne vous inquiétez pas de la sécurité fournie par https.