Uno sniffer installato dall'utente sulla sua macchina lascia cadere la mia applicazione e la decodifica? (Fiddler 2 HTTPS Sniffing)

3

Ho un servizio web e un'applicazione che si connette ad esso. Non espongo il servizio web tramite qualsiasi protocollo di scoperta verso il mondo esterno. Ho due meccanismi di sicurezza:

  1. Il mio software utilizza SSL e crittografa tutti i messaggi utilizzando un meccanismo di chiave pubblica / privata.
  2. Uso l'autenticazione nome utente / password di integrazione WCF WIF, quindi la mia applicazione ha un nome utente e una password univoci che gli consentono di accedere al servizio web.

Ora, se l'utente installa uno sniffer come Fiddler sulla sua macchina e installa il certificato speciale che consente al violinista di fiutare il traffico https:

  1. Consentirà di analizzare la struttura dei miei metodi di servizio web?
  2. L'utente sarà in grado di decodificare il nome utente e la password della mia applicazione e accedere al mio servizio web?
  3. L'utente sarà quindi in grado di creare i propri messaggi (REST / SOAP) e interagire con il mio servizio web?
posta 07.03.2012 - 02:48
fonte

2 risposte

3

Will it allow it to analyze my web service methods structure?

Sì, SSL / TLS protegge solo trasporto dei dati tra il tuo e le macchine dell'utente.

Will the user be able to reverse engineer the user name and password of my application and access my web service?

Se la tua applicazione include le credenziali per parlare con il server, allora molto probabilmente sì (questo è vero in generale e non ha nulla a che fare con SSL).

Will the user then be able to build his own messages (REST/SOAP) and interact with my web service?

Sì.

    
risposta data 07.03.2012 - 02:52
fonte
1

La decrittografia HTTPS di Fiddler è un classico attacco Man-in-the-middle . Funziona perché l'utente può convincere il programma a utilizzare un certificato che non si desidera utilizzare. Questo è il problema con i client SSL generici, specialmente se l'applicazione è costruita utilizzando i componenti di rete di Windows. Per proteggersi contro Fiddler (o qualsiasi altro proxy SSL autorizzato dall'utente), è necessario avere il pieno controllo sui certificati CA che l'applicazione permetterà come firmatari del certificato del server. La maggior parte delle implementazioni SSL non ti danno quel livello di controllo, purtroppo.

    
risposta data 08.03.2012 - 21:12
fonte

Leggi altre domande sui tag