Security fiddler可以访问本地机器数据吗?
其中一位客户报告说,他们可以看到密码以明文形式传输,他们可能尝试了类似fiddler的工具来捕获HTTP请求/响应。因此,我的问题是,是否可以使用fiddler或任何其他工具,在用户输入密码并单击登录时,是否有人可以监视本地计算机上的http流量?如果用户访问网站时未使用SSL(即,通过转到“http://”而不是“https://”),这样就可以看到网站和浏览器之间的所有流量,不仅可以在本地计算机上,还可以在计算机所连接的网络上Security fiddler可以访问本地机器数据吗?,security,http,passwords,fiddler,Security,Http,Passwords,Fiddler,其中一位客户报告说,他们可以看到密码以明文形式传输,他们可能尝试了类似fiddler的工具来捕获HTTP请求/响应。因此,我的问题是,是否可以使用fiddler或任何其他工具,在用户输入密码并单击登录时,是否有人可以监视本地计算机上的http流量?如果用户访问网站时未使用SSL(即,通过转到“http://”而不是“https://”),这样就可以看到网站和浏览器之间的所有流量,不仅可以在本地计算机上,还可以在计算机所连接的网络上 如果用户通过HTTPS访问网站,Fiddler可以充当代理,并使
如果用户通过HTTPS访问网站,Fiddler可以充当代理,并使用特殊的SSL证书解密浏览器和服务器之间的流量(感谢@user18044在下面的评论中进行澄清)
在您的情况下,Fiddler没有直接访问浏览器内存以获取明文密码。@pbhkrv。谢谢是的HTTPS已启用。问题si fiddler或任何此类工具是否可以直接访问本地机器内存?根据fiddler产品页面,它能够记录HTTPS流量()。它不是通过访问内存来实现的,而是通过将自身插入浏览器和服务器之间来实现的。如果你对血淋淋的细节感兴趣,这里有一个关于Fiddler的邮件列表。它使用的是浏览器信任的自定义SSL证书。@pbkhrv如果在Fiddler中启用https调试选项,它会请求您允许将其证书添加到受信任的根存储中。然后,它将自己安装为所有http流量的代理服务器。当Fiddler在网络层解密流量时,本地运行的软件当然可以从浏览器内存中读取密码和其他数据。