私は最近HTTPSを調べており、それがどれほど安全かを調べています。
有効な証明書があるhttpsサイトにアクセスし、ユーザー名とパスワードを入力しました。Fiddlerを使用して、送信ボタンをクリックした後に表示されるリクエストを復号化し、キーと値のペアを含む文字列にプレーンテキストのユーザー名とパスワードがありました(これはクエリ文字列ではなく、投稿値でした)。
外部アプリケーションを使用してユーザー名とパスワードを取得するのがこれほど簡単なのに、HTTPSが安全であると言われる理由について誰かに教えてもらえますか?つまり、それはほとんど瞬時の復号化であり、確かにハッカーはアプリケーションを使用して、あなたが行っている要求を見つけて復号化することができますね。
HTTPSは、途中の誰もがリッスンすることなく、ポイントツーポイントで通信するためのかなり安全な方法です。
Fiddlerがトラフィックを復号化できる理由は、ブラウザが信頼する証明書を制御できるためです。証明書は基本的に、あなたが話しているWebサイトが本人であるという「保証」であり、Fiddlerは独自の証明書をブラウザーに挿入できるため、ブラウザーにそれが任意のサイトであることを納得させることができます。
通常、ブラウザには認証局(Verisign、Thawte、Geotrustなど)からの証明書しかありません。認証局は、すべてのサイトが実際に本人であるかどうかを検証することを目的としています。認証局を信頼し(彼らが間違いを犯した)、誰もブラウザに偽の証明書を追加していない限り、誰も聞いていないことをほぼ信頼できます。
「数学的に安全」なものを探しているなら、HTTPSはそうではありません。通信を簡単に設定するには、接続の相手以外の人を信頼する必要があります。
JoachimIsaksonnに完全に同意します。いくつか追加したいだけです:
1)SSLセキュリティは、使用されるRSAキーの長さに依存します。キーが長いほど安全です。一般的に言えば、ほとんどの場合、1024ビットで十分ですが、2048ビットは、世界中のすべてのリソースを使用する既知の因数分解方法では解読できません。
http://en.wikipedia.org/wiki/RSA_Factoring_Challenge
2)SSLセキュリティもユーザーによって異なります。あるWebサイトにアクセスし、「証明書が一致しません」と表示され、[無視]をクリックすると、問題が発生します(Fiddlerがトラフィックを復号化できるのと同じ理由で)
Fiddlerを使用して達成したことにより、HTTPSに懐疑的であるようです。私はあなたの質問のその部分に簡潔に答えようとします。
それができた理由は、FiddlerがMiTMである自分自身に中間者攻撃を仕掛けたためです。ブラウザが証明書が安全でないことについて警告を発していることに気付いたはずです。その証明書は実際には、フィドラー自身の証明書です。したがって、ブラウザはfiddlerに接続し、fiddlerは目的のサーバーに接続し、Fiddlerはトラフィックを中継します(プロキシのように機能します)。これがまさにあなたがあなたのトラフィックを見ることができた理由です。ブラウザはFiddlerの公開鍵を使用してデータを暗号化し、fiddlerはその秘密鍵を使用してデータを復号化して表示しました。これは、「HTTPS」が安全でないこととは何の関係もありません。ユーザーがブラウザからの警告に注意を払う限り、HTTPSは安全であると見なすことができます。いつものように、ここで最も弱いリンクはユーザーです。