C# WebClient Encryption -查尔斯

Question

有没有可能通过web客户端连接到SSL，这样它以后就不能被Charles或Fiddler等程序解密？

我的问题是，我有一个没有登录的应用程序，如果用户的密码和用户名是正确的，服务器将返回成功。但是，如果用户阅读了响应，他可以很容易地伪造它白查尔斯和“绕过”我的登录。

Answer 1

这取决于你想要做什么，以及为什么。Fiddler通过在您的计算机上安装根证书来解密流量，然后使用基本上是中间人攻击。或者换句话说，在用户允许的情况下，它颠覆了windows的安全模型。因此，如果您依赖windows来验证所使用的SSL证书，则您对此无能为力。

如果您只有一台真正想要连接的服务器，则可以验证您正在获取的证书是否是您真正信任的证书。这称为证书钉住。

如果您担心有人存储流量，然后使用Fiddler对其进行解密，您可以不用担心。