Zadałem tu pytanie, jak ukryć połączenia z żądaniami http i uczynić je bezpieczniejszymi w mojej aplikacji. Nie chciałem, żeby ludzie używali skrzypka 2, aby zobaczyć rozmowę i ustawić autorespondera. Wszyscy mówili mi, żebym korzystał z SSL, a połączenia będą ukryte, a informacje będą bezpieczne.Jaki jest punkt protokołu SSL, jeśli skrzypek 2 może odszyfrować wszystkie połączenia za pośrednictwem protokołu HTTPS?
Kupiłem i zainstalowałem certyfikat SSL i wszystko zostało skonfigurowane. Uruchomiłem program fiddler 2 i uruchomiłem aplikację testową, która łączy się z usługą WWW https, a także jest połączona ze skryptem php.
Fiddler 2 był w stanie nie tylko wykryć oba żądania, ale również odszyfrować je! Byłem w stanie zobaczyć wszystkie informacje wracające i czwarte, co doprowadziło mnie do mojego pytania.
Jaki jest sens posiadania SSL, jeśli nie ma żadnego wpływu na bezpieczeństwo. Z protokołem SSL lub bez niego widzę wszystkie informacje cofnięte i czwarte oraz STILL ustawiają autorespondera.
Czy jest coś w .NET, którego brakuje, aby lepiej ukryć połączenia przechodzące przez SSL?
EDIT
dodaję nową część na to pytanie ze względu na niektóre z odpowiedzi, które otrzymałem. Co się stanie, jeśli aplikacja połączy się z serwisem WWW w celu zalogowania się. Aplikacja wysyła do usługi internetowej nazwę użytkownika i hasło. Usługa internetowa wysyła następnie dane z powrotem do aplikacji, informując o dobrych danych logowania lub o błędach. Nawet jeśli korzystasz z protokołu SSL, osoba korzystająca z fiddlera 2 może po prostu ustawić autoresponder, a następnie aplikacja zostanie "popękana". Rozumiem, jak przydatne może być wyświetlanie danych podczas debugowania, ale moje pytanie brzmi: co dokładnie należy zrobić, aby upewnić się, że protokół SSL łączy się z tym, który żądał. Zasadniczo mówiąc, nie może być człowieka średniego.
Wierzę, że może odszyfrować tylko informacje przeznaczone dla ciebie, ponieważ masz już klucz prywatny – Mark
To prawda - jest podobny do jakiegokolwiek innego serwera proxy do debugowania stron internetowych - jak wspomniano w poniższej odpowiedzi Aleksieja, takie serwery proxy sprawdź informacje przeznaczone dla twojego komputera, wspomagając w ten sposób debugowanie (stąd nazwa "proxy debugowania"), ale nie pozwalając na arbitralne odszyfrowanie połączeń wykonanych z innych maszyn. W związku z tym protokół SSL jest nadal bezpieczny, ale można go obserwować lokalnie, dzięki czemu można skuteczniej debugować. – waxspin
Twoja modyfikacja pytania stawia zupełnie inne pytanie niż oryginalne. Musisz poprawnie sprawdzić certyfikat wysłany przez serwer. Sposób wykonania tej czynności zależy od sposobu połączenia (jakie klasy są używane itp.). –