Soy un principiante en WASA. ¿Solo quería saber si la "fijación de certificados" puede evitar que las solicitudes / respuestas sean capturadas por proxies como burp / fiddler? Si no es así, entonces si quiero que mi solicitud y respuesta no sean capturadas por proxies, ¿qué debo hacer?
Gracias de antemano.
Si la CA utilizada por burp / fiddler para interceptar las conexiones HTTPS se agregó explícitamente a su navegador / SO como de confianza, los navegadores actuales deshabilitarán la protección de anclaje para permitir la intercepción SSL legal (confía en la CA proxy).
Si no instaló la CA proxy como de confianza, entonces probablemente ni siquiera necesitará la fijación para detectar el MITM. Pero la fijación es útil si alguien ha logrado obtener una CA aceptada públicamente para firmar sus propios certificados (es decir, piratear una CA o el uso indebido de CA intermedias).
¿Por qué no desea que un proxy interceptor capture sus solicitudes y respuestas? La fijación de certificados hará que sea un poco más difícil, pero al final el agente de usuario (el navegador) está bajo el control del usuario. Si realmente quieren ver el tráfico, pueden usar un agente de usuario que no admite la fijación de certificados. No puede confiar en el secreto absoluto para la seguridad de sus servicios o para proteger su propiedad intelectual.