永久信任Fiddler根证书“安全”吗?

由于证书是Fiddler为我的系统唯一生成的,即使对手知道我安装了这样的证书,他们也无法利用这一点。如果他们知道证书的唯一私钥,他们可能会使用它来对付我,例如,通过中间人攻击,但要做到这一点,他们需要渗透我的系统来获取证书,这时就不需要中间人攻击了。

话虽如此,为了更加安全,我已经将证书安装在一个单独的Firefox配置文件中,专门用于Fiddler,这样我在进行一般网络冲浪时,系统中就没有证书了。

来自提琴手 FAQs

风险是什么?

许多安全人员担心,如果用户将Windows配置为 信任Fiddler根证书,该用户可以拥有他们的流量 被任何其他Fiddler用户拦截和解密。他们认为 Fiddler在所有安装中共享相同的根证书。

不要害怕!每个Fiddler根证书都是唯一生成的,每个 用户,每台机器。没有两个Fiddler安装具有相同的根目录 证明书Fiddler用户被坏人恶搞的唯一途径 如果坏人已经在用户内部运行代码 账户(这意味着你无论如何都会被解雇)。

我在不止一个客户处看到的公司使用说明包括使用Fiddler后的证书删除步骤。因此,答案肯定是“是的,使用后请删除证书。”

不,它不安全,是的,你应该把它取下来。

它的全部目的是为了调试方便而破坏SSL的安全性。

它的名字中甚至有“DO_NOT_TRUST”,这是有充分理由的。