我有一个使用传输和邮件安全性的WCF服务。我如何保护数据免受恶意中间人攻击,例如来自使用fiddler并允许fiddler解密HTTPS流量的用户?
答案 0 :(得分:3)
Fiddler documentation已涵盖此主题。您可以使用Fiddler嗅探您可以访问的各方的消息。鉴于您不对恶意用户进行物理访问,您将受到传输和邮件安全保护。
问:Fiddler2是否证明了HTTPS存在缺陷?
答:不会.HTTPS依赖证书来保护网络流量。 Web浏览器依靠Trusted来防止中间人攻击 根证书颁发机构颁发证书以保护证书 交通。按照设计,网络浏览器会在流量时显示警告 不受受信任根证书颁发的证书保护。
修改
这来自另一个relevant answer
传输安全性仅提供点对点通道安全性。它 表示HTTPS仅在客户端和客户端之间建立安全通道 服务器暴露给客户端。但是,如果这台服务器只是一个负载均衡器 或代理服务器,它可以直接访问消息的内容。
消息安全性提供端到端通道安全性。这意味着 安全性是传输数据的一部分,只有预定目的地才能 解密数据(负载均衡器或代理只看到加密的消息)。 在大多数情况下,消息安全性也使用证书来提供 加密和签名,但它通常较慢,因为传输 安全性可以使用硬件加速。