https有多安全?

https有多安全?,https,security,Https,Security,我最近一直在研究HTTPS,以及它的安全性 我去了一个有有效证书的https站点,输入了我的用户名和密码。使用Fiddler,我解密了在点击submit按钮后出现的请求,在一个包含键值对的字符串中有我的用户名和密码,这不是querystring,而是post值 当我使用外部应用程序很容易获得用户名和密码时,有人能告诉我为什么HTTPS是安全的吗?我的意思是,这是一个即时解密,当然黑客可以使用一个应用程序来查明你在做什么请求并解密它们,不是吗? http是一个相当安全的点对点通信方式,中间没有人

我最近一直在研究HTTPS,以及它的安全性

我去了一个有有效证书的https站点,输入了我的用户名和密码。使用Fiddler,我解密了在点击submit按钮后出现的请求,在一个包含键值对的字符串中有我的用户名和密码,这不是querystring,而是post值


当我使用外部应用程序很容易获得用户名和密码时,有人能告诉我为什么HTTPS是安全的吗?我的意思是,这是一个即时解密,当然黑客可以使用一个应用程序来查明你在做什么请求并解密它们,不是吗?

http是一个相当安全的点对点通信方式,中间没有人能侦听。

Fiddler可以解密流量的原因是它可以控制浏览器信任的证书。证书基本上是一种保证,即你正在与之交谈的网站就是它声称的那个网站,而且由于Fiddler可以将自己的证书放入浏览器中,它可以使浏览器相信它是任何网站

通常情况下,浏览器只有来自Verisign、Thawte、Geotrust等认证机构的证书,他们的工作是验证每个站点实际上都是他们所说的那个人。只要您信任证书颁发机构,并且没有人在您的浏览器中添加假证书,您就可以相信没有人在监听


如果你在寻找数学上安全的东西,HTTPS就不是了。为了便于通信,你仍然需要信任别人而不是连接的另一端。

HTTPS是一种相当安全的点对点通信方式,中间没有任何人能收听。

Fiddler可以解密流量的原因是它可以控制浏览器信任的证书。证书基本上是一种保证,即你正在与之交谈的网站就是它声称的那个网站,而且由于Fiddler可以将自己的证书放入浏览器中,它可以使浏览器相信它是任何网站

通常情况下,浏览器只有来自Verisign、Thawte、Geotrust等认证机构的证书,他们的工作是验证每个站点实际上都是他们所说的那个人。只要您信任证书颁发机构,并且没有人在您的浏览器中添加假证书,您就可以相信没有人在监听


如果你在寻找数学上安全的东西,HTTPS就不是了。为了便于建立沟通,您仍然必须信任其他人,而不是连接另一端的人。

我完全同意约阿希姆·伊萨克森的观点。我只想补充几点:

1 SSL安全性取决于所使用的RSA密钥的长度。钥匙越长越安全。一般来说,1024位对于大多数情况仍然足够好,2048位对于世界上所有资源的已知因式分解方法来说是不可破坏的


2 SSL安全性也取决于用户。如果你去某个网站,它说证书不匹配,你点击忽略,你就有麻烦了,原因与Fiddler可以解密流量的原因相同

我完全同意Joachim Isaksonn的观点。我只想补充几点:

1 SSL安全性取决于所使用的RSA密钥的长度。钥匙越长越安全。一般来说,1024位对于大多数情况仍然足够好,2048位对于世界上所有资源的已知因式分解方法来说是不可破坏的


2 SSL安全性也取决于用户。如果你去某个网站,它说证书不匹配,你点击“忽略”,你就有麻烦了,原因与Fiddler可以解密流量的原因相同,你似乎对HTTPS持怀疑态度,因为你使用Fiddler所取得的成就。我会尽量简明扼要地回答你问题的那一部分


你之所以能做到这一点,是因为你让一个人在中间攻击你自己,而Fiddler就是米特。您一定注意到浏览器会发出关于证书不安全的警告。那个证书实际上是小提琴手自己的证书。因此,您的浏览器连接到fiddler,fiddler连接到预期的服务器,fiddler中继流量,就像代理一样。这就是为什么你能看到你的流量。您的浏览器使用Fiddler的公钥加密数据,而Fiddler使用其私钥解密数据以显示给您。这与“HTTPS”不安全无关。只要用户对浏览器发出的警告足够小心,HTTPS就可以被认为是安全的。一如既往,这里最薄弱的环节是用户。

似乎您对HTTPS持怀疑态度,因为您使用Fiddler实现了这些目标。我会尽量简明扼要地回答你问题的那一部分

你为什么
之所以能够做到这一点,是因为你把一个中间人攻击到了自己身上,而Fiddler就是米特。您一定注意到浏览器会发出关于证书不安全的警告。那个证书实际上是小提琴手自己的证书。因此,您的浏览器连接到fiddler,fiddler连接到预期的服务器,fiddler中继流量,就像代理一样。这就是为什么你能看到你的流量。您的浏览器使用Fiddler的公钥加密数据,而Fiddler使用其私钥解密数据以显示给您。这与“HTTPS”不安全无关。只要用户对浏览器发出的警告足够小心,HTTPS就可以被认为是安全的。一如既往,这里最薄弱的环节是用户。

取决于密钥长度。通常,只要NP!=周围没有quantic电脑,非常安全。在wikipedia中搜索RSA以获取更多信息可能的副本不是真正的副本-在我的问题中,我举了一个例子说明为什么我认为它不安全。另一个问题是在2008年提出的,我不确定当时Fiddler是否在场,所以,如果不是,这个问题可能已经过时了。这取决于键的长度。通常,只要NP!=周围没有quantic电脑,非常安全。在wikipedia中搜索RSA以获取更多信息可能的副本不是真正的副本-在我的问题中,我举了一个例子说明为什么我认为它不安全。另一个问题是在2008年提出的,我不确定当时菲德勒是否在场,所以,如果没有,这个问题可能已经过时了。谢谢约阿希姆。我忘了我必须信任小提琴手的证书。回答好,简短,容易理解对不起,很久以前我就想接受这个答案了,最近几周我一直在拖延。谢谢Joachim。我忘了我必须信任小提琴手的证书。回答好,简短,容易理解对不起,很久以前我就打算接受这个答案了,最近几周我一直在犹豫。希望我能+2。。很好的回答,尤其是关于最薄弱环节是用户的一个好观点!但愿我能+2。。很好的回答,尤其是关于最薄弱环节是用户的一个好观点!