J'ai créé une application GData et j'envoie mes informations d'identification Google pour utiliser mon compte. Fiddler peut facilement intercepter ma communication et révèle le nom d'utilisateur & mot de passe.Sécurité de la communication: Fiddler intercepte mes conversations. Comment puis-je sécuriser mon application?
Y a-t-il un moyen de prévenir les regards indiscrets? Quelqu'un peut-il révèle facilement mon mot de passe sinon ...
POST https://www.google.com/accounts/ClientLogin HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: www.google.com
Content-Length: 109
Expect: 100-continue
Connection: Keep-Alive
Email=xxxxxxxxxx%40gmail.com&Passwd=veryhigh-secure-ultra-strenght-passord-is-this-HHDGdgddhdyhghdeeehdeg^3h37373dE^^^+--XXXxxx123123h37ddg3g36dhjfhfg6373udbgd634t&source=database&service=writely&accountType=HOSTED_OR_GOOGLE
AJOUT: Nous savons certificat SSL public de Google Docs. Pouvons-nous vérifier s'il est utilisé sur le PC du client ou s'il y en a un faux? Aide-t-il?
Mise à jour & Conclusion:
Fiddler agit comme homme-in-the-milieu et injecte un faux certificat racine dans cert racine de confiance Windows. le magasin. Génère ensuite une fausse certification pour le site cible. Le navigateur utilise cette fausse certification - clé publique - & crypte & envoie des données, à Fiddler lui-même. Fiddler décrypte les données avec une fausse certification racine - clé privée -. Et puis utiliser la certification d'origine du site distant & crypte les données & envoie au site cible. Répète les mêmes choses en sens inverse au navigateur de réponse.
J'ai simplement demandé comment détecter ces fausses certifications sur une autre question. Si je construis une application simple avec .NET, l'application utilisera & utiliser la certification "default/stored" de Windows pour le site cible. Si ce n'est pas le cas, Fiddler en générera une à la volée.
Alors ...
Je ne vous fiez pas le certificat sous Windows' et obtenir le certificat authentique directement à partir du site cible/ou je dois inclure un certificat valide de site cible dans mon application.
Je dois modifier le code source de l'API Google Data pour utiliser mon certificat SSL authentifié inclus -un fichier .crt simple- sur mes communications https. Ainsi, les données seront cryptées dans mon application et décryptées sur le site cible uniquement. Sécuriser la mémoire (pour rendre les choses plus difficiles) est la prochaine étape.
J'ai écrit ces choses comme référence pour l'avenir qui recherche mêmes sujets & être approuvés par vous.
Merci.
Quelqu'un a déjà été mentionné sur les certificats faux:
C'est un mot de passe vraiment mauvais. – Rawling
Puis-je forcer mon application/API Google à ignorer/interdire tout certificat non approuvé? –
Ok les gars, j'ai corrigé le mot de passe. Maintenant quoi? –