Как обеспечить безопасность HTTPS-трафика там, где разрешен Fiddler?

Question

Как обеспечить безопасность HTTPS-трафика там, где разрешен Fiddler?

Я знаю, как Fiddler может расшифровать HTTPS-трафик, используя подход Man-In-The-Middle. Я понимаю, что доверяющий корневой сертификат Fiddler сопряжен с риском, и нужно доверять ему ответственно, понимая его значение. Тем не менее, это оставляет вам риск того, что сотрудник установит Fiddler и будет доверять его корневому сертификату. В таком случае, как отдел информационной безопасности организации может обеспечить безопасность?

(Я могу применить некоторые политики, в которых Fiddler или любому прокси-перехватчику не разрешается устанавливать. Но что, если это невозможно, скажем, в самой ИТ-компании?)

1

security https ssl-certificate man-in-the-middle fiddle

Источник

user411924 13 апр '16 в 10:51

1 ответ

Другие вопросы по тегам security https ssl-certificate man-in-the-middle fiddle

user2195875 17 апр '16 в 20:26 2016-04-17 20:26 · Answer 1 · 2016-04-17 20:26

Как указано в комментариях, Fiddlers используют разные ключи при каждой установке, поэтому вы можете смягчить только себя (или людей, которые вам доверяют).

Но если ваш секретный ключ фиддлера скомпрометирован, то люди, которые доверяют ему, могут быть сохранены только путем удаления сертификата.

Закрепление не может быть полезным, потому что HPKP отключен для доверенных пользователей.

Вывод: вы в безопасности, просто держите свой закрытый ключ в секрете!