Quel est le point de SSL si violoneux 2 peut déchiffrer tous les appels sur HTTPS?

Question

J'ai posé une question ici d'un moment de retour sur la façon de masquer ma requête http appels et de les rendre plus en sécurité dans mon application. Je ne veux pas les gens à utiliser fiddler 2 pour voir l'appel et mis en place un répondeur automatique. Tout le monde m'a dit d'aller SSL et les appels seront cachés et les informations conservées en toute sécurité.

J'ai acheté et installé un Certificat SSL et ai tout mis en place. J'ai démarré fiddler 2 et a couru un test d'applications qui se connectent à un https service web ainsi que connecté à un https script php.

Fiddler 2 a été capable non seulement de détecter à la fois les demandes, mais les déchiffrer aussi bien! J'ai pu voir toutes les informations d'aller en arrière et quatrième. Ce qui amène à ma question.

Quel est l'intérêt d'avoir SSL si il fait 0 de sécurité des différences. Avec ou sans SSL je peux voir tous information de revenir et de quatrième et de TOUJOURS mettre en place un répondeur automatique.

Est-il quelque chose dans .net, je suis absent pour mieux cacher mes appels sur SSL?

MODIFIER

Je suis l'ajout d'une nouvelle partie à cette question que de quelques-uns de la réponse que j'ai obtenue. Que faire si une application connectée à un service web pour vous connecter. L'application envoie le service web d'un nom d'utilisateur et un mot de passe. Le service web, puis envoie les données à l'application de dire les bonnes données de connexion ou mauvais. Même si vous allez sur SSL la personne à l'aide de fiddler 2, vous pouvez simplement mettre en place un répondeur automatique et l'application est alors "craqué". Je comprends comment il pourrait être utile d'utiliser besoin de voir les données de débogage, mais ma question est exactement ce que devrait-on faire assurez-vous que le protocole SSL est connecter est une, il a été demandé. Ce qui revient à dire il ne peut pas être un homme du milieu.

Answer 1

Ceci est abordé ici: http://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp

Fiddler2 repose sur un "man-in-the-middle" approche HTTPS interception. À votre navigateur web, Fiddler2 prétend être le serveur web sécurisé, et pour le serveur web, Fiddler2 imite le navigateur web. Afin de se faire passer pour le serveur web, Fiddler2 génère dynamiquement un certificat HTTPS.

Essentiellement, manuellement, vous faites confiance à ce que le certificat Fiddler offre, il en sera de même si vous accepter manuellement certificat de personne au hasard qui ne correspond pas à un nom de domaine.

EDIT: Il existe des moyens de prévenir les Violoneux/man-in-the-middle attack - à-d. dans les applications personnalisées à l'aide de SSL on peut demander des certificats d'être utilisés pour la communication. En cas de navigateurs, ils ont de l'INTERFACE utilisateur d'avertir l'utilisateur de certificat d'incompatibilité, mais éventuellement permettre une telle communication.

Comme un public d'échantillons disponibles pour explicite certificats, vous pouvez essayer d'utiliser Azure services (c'est à dire avec PowerShell outils pour Azure) et renifler le trafic avec un violon. Il échoue en raison de l'explicite cert exigence.

Answer 2

Vous pouvez configurer votre site web-le service d'exiger d'un Client-côté de certification pour l'authentification SSL, ainsi que le côté serveur. De cette façon, le Violoneux, ne serait pas en mesure de se connecter à votre service. Seulement votre application, qui a le certificat requis serait en mesure de se connecter.

Bien sûr, vous avez alors le problème de savoir comment protéger le certificat sein de l'application, mais vous avez ce problème, maintenant, avec votre nom d'utilisateur et mot de passe, de toute façon. Quelqu'un qui a vraiment envie de casser votre application pourrait avoir un aller avec Réflecteur, ou même faire un mémoire de recherche de la clé privée associée avec le client-côté cert.

Il n'y a pas de véritable moyen de gagner à 100% par la preuve de balle. C'est le même problème, l'industrie du film a de sécuriser le contenu du DVD. Si vous avez un logiciel capable de décrypter les DVD et la lecture du contenu, alors que quelqu'un peut faire un vidage de la mémoire alors que le logiciel est en action et de trouver la clé de déchiffrement.