¿Puede un rastreador instalado por el usuario en el alero de su máquina dejar caer mi aplicación y aplicar ingeniería inversa? (Fiddler 2 HTTPS sniffing)

Navega tus respuestas
3

Tengo un servicio web y una aplicación que se conecta a él. No expongo el servicio web a través de ningún protocolo de descubrimiento al mundo exterior. Tengo dos mecanismos de seguridad:

  1. Mi software usa SSL y encripta todos los mensajes usando una clave pública / privada mechansim.
  2. Uso la autenticación de nombre de usuario / contraseña de la integración WCF WIF, por lo que mi aplicación tiene un nombre de usuario y una contraseña únicos que le permiten acceder al servicio web.

Ahora, si el usuario instala un rastreador como Fiddler en su máquina e instala el certificado especial que permite al fiddler rastrear el tráfico https:

  1. ¿Le permitirá analizar la estructura de los métodos de mi servicio web?
  2. ¿Podrá el usuario aplicar ingeniería inversa al nombre de usuario y la contraseña de mi aplicación y acceder a mi servicio web?
  3. ¿El usuario podrá construir sus propios mensajes (REST / SOAP) e interactuar con mi servicio web?
pregunta 07.03.2012 - 02:48
fuente

2 respuestas

3
  

¿Le permitirá analizar la estructura de los métodos de mi servicio web?

Sí, SSL / TLS solo protege el transporte de los datos entre usted y las máquinas del usuario.

  

¿El usuario podrá realizar ingeniería inversa del nombre de usuario y la contraseña de mi aplicación y acceder a mi servicio web?

Si su aplicación incluye credenciales para hablar con el servidor, lo más probable es que sí (esto es cierto en general y no tiene nada que ver con SSL).

  

¿El usuario podrá construir sus propios mensajes (REST / SOAP) e interactuar con mi servicio web?

Sí.

    
respondido por el Niklas B. 07.03.2012 - 02:52
fuente
1

El descifrado HTTPS de Fiddler es un ataque Man-in-the-middle clásico. Funciona porque el usuario puede convencer al programa para que use un certificado que usted no quiere que use. Ese es el problema con los clientes SSL genéricos, especialmente si su aplicación está construida con componentes de red de Windows. Para protegerse contra Fiddler (o cualquier otro proxy SSL autorizado por el usuario), debe tener control total sobre los certificados de CA que su aplicación permitirá como firmantes del certificado del servidor. La mayoría de las implementaciones de SSL no te dan ese nivel de control, por desgracia.

    
respondido por el Ross Patterson 08.03.2012 - 21:12
fuente

Lea otras preguntas en las etiquetas

Equipo requerido para rastrear buses de datos / direcciones a través de emisiones EM análisis fallidos de intentos de inicio de sesión