从fiddler的配置过程中，思考中间人攻击的防范

清晰图解https如何防范中间人攻击 https://blog.csdn.net/oZhuZhiYuan/article/details/106650944
中间人可以获取站点的证书，但不能获取站点的私钥，所以无法与客户端进行密钥协商。但中间人也不是没有办法，既然获取不到站点的私钥，那索性就不用站点的证书，比如fiddler。
fiddler会使用自己的证书，而不使用站点的证书。这需要用户手动添加并信任fiddler的证书。

Android系统https抓包问题分析 https://www.cnblogs.com/jiangjunyong/p/13272164.html
如果用户缺乏安全知识，添加了攻击者颁发的证书，或者没有添加信任但是无视了安全告警，那https也无法阻止攻击。这篇文章提到了SSL pinning（也叫客户端预埋证书），消除了这个隐患。不过预埋也可以被XPosed+justTrustMe绕过，使预埋验证被跳过。（网上有的https教程，验证函数直接return true，或者是直接使用开源框架，而一些开源框架的验证函数也没写）

SSL劫持（即类似fiddler）与SSL剥离（另一种中间人攻击思路，且浏览器不会发出警告！）：
https://blog.csdn.net/shenshaojun/article/details/109121888