HTTPS连接是否可以通过中间人攻击被劫持？

Question

我正在使用gmail,但我需要在访问第一个网页时输入代理密码.密码是从浏览器内部询问的.我从代理收到证书,我必须接受该证书才能使Internet连接正常工作.

在这种情况下,可以跟踪gmail和浏览器之间的HTTPS连接吗？

Answer 1

Fiddler这样描述:

问:HTTPS协议旨在防止流量查看和篡改.鉴于此,Fiddler2如何调试HTTPS流量？

答:Fiddler2依赖于HTTPS拦截的"中间人"方法.在您的Web浏览器中,Fiddler2声称是安全的Web服务器,而对于Web服务器,Fiddler2模仿Web浏览器.为了假装是Web服务器,Fiddler2动态生成HTTPS证书.

您的网络浏览器不信任Fiddler的证书(因为Fiddler不是受信任的根证书颁发机构),因此当Fiddler2拦截您的流量时,您会在浏览器中看到HTTPS错误消息,如下所示:

Answer 2

跟踪？即使https加密流量,你仍然知道双方的IP地址(gmail和浏览器).HTTPS并没有解决这个问题,但是不同的加密融合创建了洋葱路由器(TOR),它无法找到服务器和客户端.

在"正常"条件下,当攻击者尝试使用MITM HTTPS时,您的浏览器应该抛出证书错误.这是由PKI支持的SSL的全部要点. 然而 在2009年,Moxie Marlenspike发表了一个杀手Blackhat的演讲,他在没有任何警告的情况下能够使用MITM HTTPS.他的工具名为SSLStrip,我强烈建议观看该视频.

SSLStrip的一个很好的解决方案是由Google开发的.它叫做STS,您应该在所有 Web应用程序上启用它.目前sts仅受Chrome支持,但Firefox正在努力支持此功能.最终所有浏览器都应该支持它.