V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2340 days ago, the information mentioned may be changed or developed.
现在使用安卓项目使用 https,使用 Fiddler 代理的话,会抛出证书效验失败。
中间人代理可以模拟 ca 机构的所有操作么?
还是说手机上内置了 ca 机构的初始证书,中间代理无法破解手机向 ca 机构的请求。
中间人代理可以模拟 ca 机构的所有操作么?
还是说手机上内置了 ca 机构的初始证书,中间代理无法破解手机向 ca 机构的请求。
Supplement 1 · Dec 4, 2019
想通了,需要篡改手机根证书,正常情况(非代码取消效验等其他情况)直接使用 https 就好了...
 |
1
qwwuyu OP 2B 了, 肯定是不能代理的,不然浏览器早 GG 了..
|
 |
2
wangyzj Dec 4, 2019
正向代理不会
|
 |
3
eason1874 Dec 4, 2019 via Android
可信 CA 的存在就是为了防中间人,你说呢?
|
 |
4
crclz Dec 4, 2019
建议简单但系统的了解一下 ssl 和 ca 分别解决了什么问题
|
 |
5
morethansean Dec 4, 2019  1
ca 机构的根证书是内置的,中间代理软件会让你安装它自己的证书去劫持啊。
|
 |
6
chennqqi Dec 4, 2019
https 不能解决的是本地证书被替换的问题
|
 |
7
mouyase Dec 4, 2019 via Android 1
客户端开发的时候,不要信任用户证书,就不会被攻击了,否则可以通过装证书实现中间攻击
|
 |
8
jadec0der Dec 4, 2019 2
建议系统了解下 SSL 的机制,证书和根证书的区别,fiddler 提供根证书,装了就能中间人 https 了
|
 |
9
NerverLibis Dec 4, 2019 via iPhone 1
可以攻击 dh 算法少于 2048 位可被中间人握手攻击 常见于 sslv3 tsl1
|
|
10
mouyase Dec 4, 2019
补充一个,root 后可以信任第三方证书
|
 |
11
dosmlp Dec 4, 2019
在保证端安全的情况下可以
|
 |
12
annoy1309 Dec 4, 2019 1
如果这个中间人有作恶的实力(比如直接或者间接控制 /干预某个根 CA )还是可以做到的,所以做好的方法还是 PGP 之类,将加密链掌握在自己手里
|
 |
13
ilotuo Dec 4, 2019
我理解是中间人也装了 CA 证书就可以。
如果客户端要确认服务端身份,可以做个单向验证。 |
|
14
qwwuyu OP 5L 应该是正确的.. 正常情况下用户没法被代理攻击
|
 |
15
jimages Dec 4, 2019 via iPhone 1
看似安全,实际上用户可能会被诱导安装根证书(而且用户非常容易被诱导)。所以大厂都不只依靠 https 做安全校验,要么是检验证书指纹,要么是数据打上签名……balabala 等待方案
|
 |
16
lululau Dec 4, 2019 via iPhone
首先,得明白,用户自己通过代理看到 https 流量的明文(方法就是用户主动信任了代理软件“伪造”的 ca 证书),这个不叫“中间人攻击”
|
Select Language