我有一个使用传输和消息安全性的WCF服务。如何保护数据免受恶意中间人攻击,例如来自使用fiddler并允许fiddler解密HTTPS流量的用户?
这个主题已经在Fiddler文档中讨论过了。您可以使用Fiddler嗅探来自您可以物理访问的各方的消息。如果您不给恶意用户物理访问权限,您将受到传输和消息安全的保护。
问:Fiddler2是否存在HTTPS漏洞?
:没有。HTTPS依赖于证书来保证网络流量的安全。Web浏览器通过依赖Trusted来防止中间人攻击根证书颁发机构颁发证书,以保护流量。按照设计,网页浏览器将显示一个警告当流量不受受信任根颁发的证书的保护。
编辑
这是另一个相关的答案
传输安全仅提供点对点通道安全。它意味着HTTPS只在客户端和客户端之间建立安全通道向客户端公开的服务器。但如果这个服务器只是一个负载均衡器或者代理服务器,它可以直接访问消息的内容。
消息安全性提供端到端的通道安全性。这意味着安全性是传输数据的一部分,只有预期的目的地可以解密数据(负载平衡器或代理只看到加密的消息)。消息安全性在大多数情况下也使用证书来提供加密和签名,但通常较慢,因为传输安全可以使用HW加速。