use*_*702 3 https certificate fiddler server
我想知道Web服务是否可以通过Fiddler4(Web调试代理)创建的"伪造"根证书来检测HTTPS连接,以防止逆向工程.
有没有办法检查加密是用原始证书还是用Fiddler制作的?
一个服务器有没有办法知道什么证书的客户端收到除非客户端向服务器发送信息.
从客户端JavaScript,你今天无法检测到这样的拦截; JavaScript不公开内省证书的功能.它是可以使用Java或Flash网页内检查时连接到服务器收到的证书,但足够狡猾的拦截可能只是避免MITM'ing在Java /闪存连接.
相反,本机代码客户端应用程序可以检测服务器提供的证书,并拒绝任何与预期证书不匹配的证书; 这被称为certificate pinning,这是一些应用程序使用的技术.请注意,这将比Fiddler阻止更多; 它还会阻止通过公司检查代理(例如BlueCoat,ISA TMG等)和一些流行的消费者防病毒程序代理(例如BitDefender)的连接.更重要的是,如果用户愿意,用户可以绕过您的证书固定支票; 您的代码在他们的设备上运行,并且他们能够修改内存中的代码以去除证书固定检查.在某些移动设备上,此代码修改需要"越狱"设备,但这不是一个不可逾越的障碍.
| 归档时间: |
|
| 查看次数: |
144 次 |
| 最近记录: |