SSL 连接有多安全？答案

【问题标题】：How secure is SSL connection??SSL 连接有多安全？
【发布时间】：2013-11-06 05:53:07
【问题描述】：

最近我阅读了很多关于安全连接和所有这些内容的内容。我的理解是这不是关于加密，而是关于安全的端到端通信，中间没有人可以听到..

但现在我很困惑.. 这是场景。

我让 Fiddler 在后台运行。我已启用 https 解密。我正在登录我的 hotmail 帐户。输入我的用户名密码并提交，登录。我回到 Fiddler 并检查了 POST 请求，我能够从请求正文中读取用户名和密码。

我不知道我是否错了..但这不应该是可能的吧？ Hotmail 建立了安全连接，我可以使用 Fiddler 读取正文。所以使用任何其他高级工具，其他人可以轻松获取我的用户名密码？？？

请给我一些关于这种情况的见解。非常感谢。

【问题讨论】：

【解决方案1】：

您基本上是在与 fiddler 合作，对自己发起中间人攻击。您信任 Fiddler 的证书，因此 Fiddler 然后充当代理并从您的角度假装是您正在与之交谈的网站（这是可能的，因为您信任 Fiddler 作为您的代理）。从 Hotmail 的角度来看，Fiddler 是在冒充你。

这只是可能的，因为您信任 Fiddler。当然，还有关于流氓证书颁发机构的问题，但这完全是另一回事。

【讨论】：

如果我们不轻易信任代理，这是否意味着 SSL 是安全的？
这样更安全。当然，有一些方法可以破坏 SSL（参见最近的 GnuTLS 失败和 Apple 验证证书失败）。它不是防弹的，系统中也有漏洞，但它是尽可能安全的，无需付出很大的努力。