是否'safe'永久信任Fiddler根证书?
Is it 'safe' to permanently trust the Fiddler root certificate?
我正在寻找使用 Fiddler 检查 WFC 客户端发送和接收的 HTTP 流量。为此,我已将 Fiddler 根证书添加到 Windows 证书存储区。
我的问题:将此证书留在 Windows 存储中以备我可能需要再次测试时使用是否有任何风险?攻击者能否利用它存在的事实?我应该在完成测试后将其删除吗?
不,它不安全,是的,您应该将其删除。
它的全部目的是为了调试方便而破坏 SSL 的安全性。
它的名字中甚至有 "DO_NOT_TRUST",这是有充分理由的。
由于证书是Fiddler为我的系统唯一生成的,即使对手知道我安装了这样的证书,他们也没有办法利用这一点。如果他们知道证书的唯一私钥,他们可能会使用它来对付我,例如,通过中间人攻击,但要做到这一点,他们需要渗透我的系统以获得证书,在哪一点就不需要中间人攻击了。
话虽如此,但为了更加安全,我已经将证书安装在一个单独的 Firefox 配置文件中,专门用于 Fiddler,这样在进行一般网上冲浪时我的系统中就没有证书了。
我在不止一个客户那里看到的企业使用说明包括使用 Fiddler 后的证书删除步骤。所以答案肯定是 "Yes, do remove the certificate after use."
来自提琴手FAQs
What’s the Risk?
Many security folks are worried that, if a user configures Windows to
trust Fiddler’s root certificate, that user could have their traffic
intercepted and decrypted by any other Fiddler user. They assume that
Fiddler is sharing the same root certificate across all installations.
Fear not! Every Fiddler root certificate is uniquely generated, per
user, per machine. No two Fiddler installations have the same root
certificate. The only way for a Fiddler user to be “spoofed” by a bad
guy is if that bad guy already is running code inside the user’s
account (which means you’d already be pwned anyway).
我正在寻找使用 Fiddler 检查 WFC 客户端发送和接收的 HTTP 流量。为此,我已将 Fiddler 根证书添加到 Windows 证书存储区。
我的问题:将此证书留在 Windows 存储中以备我可能需要再次测试时使用是否有任何风险?攻击者能否利用它存在的事实?我应该在完成测试后将其删除吗?
不,它不安全,是的,您应该将其删除。
它的全部目的是为了调试方便而破坏 SSL 的安全性。
它的名字中甚至有 "DO_NOT_TRUST",这是有充分理由的。
由于证书是Fiddler为我的系统唯一生成的,即使对手知道我安装了这样的证书,他们也没有办法利用这一点。如果他们知道证书的唯一私钥,他们可能会使用它来对付我,例如,通过中间人攻击,但要做到这一点,他们需要渗透我的系统以获得证书,在哪一点就不需要中间人攻击了。
话虽如此,但为了更加安全,我已经将证书安装在一个单独的 Firefox 配置文件中,专门用于 Fiddler,这样在进行一般网上冲浪时我的系统中就没有证书了。
我在不止一个客户那里看到的企业使用说明包括使用 Fiddler 后的证书删除步骤。所以答案肯定是 "Yes, do remove the certificate after use."
来自提琴手FAQs
What’s the Risk?
Many security folks are worried that, if a user configures Windows to trust Fiddler’s root certificate, that user could have their traffic intercepted and decrypted by any other Fiddler user. They assume that Fiddler is sharing the same root certificate across all installations.
Fear not! Every Fiddler root certificate is uniquely generated, per user, per machine. No two Fiddler installations have the same root certificate. The only way for a Fiddler user to be “spoofed” by a bad guy is if that bad guy already is running code inside the user’s account (which means you’d already be pwned anyway).