javascript - 如何验证 ssl 没有通过浏览器中的代理等拦截？

Question

最近我安装了 fiddler，它确实允许我从任何浏览器查看(解密)我的 Ssl 请求。

虽然不合法，但有些防火墙也允许安装一些根证书，然后防火墙可以监控和跟踪https协议(protocol)。

我们通过 ssl 提供敏感信息，以及如何通过代理或 fiddler 类工具检查和防止此类拦截。

是否有任何 JavaScript API？应该有一些东西，我可以检查页面加载。

$( function() {
    if(!isSSLValid())
    {
        alert('Your traffic is monitored...');
        location.href = '/SSLInstructions.html';
    }
});

将其视为移动或选项卡浏览器，在 iOS 中无法查看证书，只能查看图标。

Answer 1

(这与 this question on Security.SE 非常相似。)

作为客户端，您可以通过检查其证书来验证您的 SSL/TLS 连接未被 MITM 代理(Fiddler 或其他)拦截。这就是使用证书来验证服务器的全部目的。

您只能允许 Fiddler 查看流量，因为您选择验证其证书。同样，MITM 代理服务器(主要用于企业环境)需要在客户端计算机上安装其 CA 证书。在发生这种情况的环境中，客户端无论如何都无法真正控制他们使用的机器:他们将管理委托(delegate)给控制该代理的任何人。

检查 (a) SSL/TLS 是否被使用以及 (b) 是否被正确使用(对于他们打算与之通信的机器，首先使用他们可以信任的证书)最终是客户的唯一责任. (有关详细信息，请参阅 this longer explanation on Webmasters.SE。)

How to verify that ssl was not intercepted via proxy etc in browser?

告诉您的用户不要忽略警告。如果在他们的机器上安装了带有匹配 CA 证书的公司代理，原则上他们可以查看证书的详细信息。如果他们不信任他们为此使用的机器，他们应该使用自己的机器，来自允许他们不被拦截的网络。

不幸的是，移动设备确实无法检查这些细节，但作为服务器，您无能为力。

检查客户端是否收到与服务器发送的服务器证书相同的一种方法是要求客户端证书身份验证，这将使客户端使用自己的私钥签署握手(包括服务器证书)，所以服务器可以检查签名是否符合预期。这需要更多的基础设施来处理客户端证书(并且您需要向用户展示如何使用它们)。

编辑:关于您的评论。

That's flaw in ssl that we have no way to check if anyone is watching or not, and it defetes whole purpose of it.

并非如此，即使在现实生活中，用户最终也始终有责任检查正在与谁通话。如果您填写正确的表格以通过代理人投票并将此投票权委托(delegate)给某人，或者如果您将您的身份证件和送货单交给某人从邮局为您领取包裹，则由您来确保您相信那个人。如果您将银行密码提供给某人，然后他们为您调用您的银行，您的银行将无法判断是不是您本人:就其而言，您是通过这些凭据来识别身份的。

只有用户能够检查它是否正在与正确的服务器通信:如果不是，则合法服务器未与用户联系，因此它根本无法发出任何错误发生的警告。

您永远无法强制用户从您的服务器与正确的服务器对话，因为您无法控制他们的行为。他们可以把密码给任何他们想要的人，你不会知道。 (你最多可以教他们不要这样做。)

您可以做的是防止您的服务器将数据提供给不是您用户的人。按照现实生活中的类比，这可以通过使用您坚持该人在场的机制来完成(您不允许某人为其他人行事，即使他们带着其他人的 ID 出现)。这可以在使用客户端证书时通过 SSL/TLS 来完成:只有私钥的持有者可以被验证，没有中间方。 (当然，从实际的 Angular 来看，用户必须确保他们不提供私钥。)