Come mai posso vedere le richieste HTTPS complete tramite Fiddler?

4

Sto testando un'API Web C # ospitata su un server remoto e sto monitorando il traffico HTTPS usando Fiddler.

Ciò che mi confonde è che tramite Fiddler posso vedere tutti i payload, le intestazioni e gli indirizzi URL host POST sia per la richiesta che per la risposta. Il certificato SSL non dovrebbe in realtà criptare questi dati, o almeno alcuni di essi? Ho provato a trovare un esempio di richieste HTTPS crittografate ma non riesco a trovarlo.

Perché sono in grado di vedere un'intera richiesta HTTPS in Fiddler?

    
posta mko 02.03.2018 - 13:38
fonte

1 risposta

5

Dai un'occhiata a queste istruzioni su come far decifrare il traffico TLS da Fiddler. Ti dice di installare il certificato radice di Fiddlers nell'archivio trust del sistema operativo.

Ciò implica che stanno facendo l'intercettazione TLS classica: esiste una connessione TLS tra il browser e Fiddler e un'altra tra Fiddler e il server. Il primo utilizza un certificato generato al volo da Fiddler e firmato con il loro certificato di origine. Il secondo utilizza qualsiasi certificato fornito dal server. Come visto sotto:

   Browser <--- TLS Connection #1 ---> Fiddler <--- TLS Connection #2 ---> example.com
                      |                                      |
               Certificate signed                  Genuine certificate 
                   by Fiddler                         for exmple.com 

Funziona perché al sistema operativo è stato detto di fidarsi del certificato radice di Fiddlers, in modo che possano semplicemente creare un certificato per qualsiasi dominio che vogliono al volo e il browser lo accetterà.

    
risposta data 02.03.2018 - 14:18
fonte

Leggi altre domande sui tag