Имам приложение за Android с няколко API, което има SSL. Когато се опитам да извърша подслушване на пакети с помощта на Fiddler2 или charles proxy след инсталиране на доверен сертификат на моето устройство, успях да видя всички HTTPS повиквания. Направих няколко теста в други приложения, за да видя дали е нормално и открих, че някои от тях не показват или не се свързват с ssl заявката. Как мога да избегна показването на моя APIS при надушване на пакети. Използвам позволява шифроване на моя домейн за ssl
Избягвайте показването на https заявки от снифинг на пакети
Отговори (1)
Това не е възможно и не трябва да е необходимо.
Невъзможно е да се каже дали устройство по пътя между клиент и сървър подслушва пакети. По този начин няма да можете да прекъснете връзката въз основа на това дали някой надушва някъде. Това е еквивалентно на това да гледате изтеглен файл на вашия компютър и да се чудите колко други копия има в света. Нито файлът, нито разписката ви за него съхраняват тези данни.
Също така не би трябвало да е необходимо, тъй като HTTPS е имунизиран срещу MITM, при условие че не сте актьор на държавно ниво. Това е, освен ако нямате достъп до клиента, в който случай можете да добавите своя MITM като доверен CA. За повече информация относно HTTPS и MITM атаките, трябва да погледнете миналия опит на Казахстан при него
person
Ross Jacobs
schedule
10.01.2020
1. „Четох някъде“ не се отразява на Stack Overflow. Потърсете го в Google и вместо това публикувайте връзка. 2. Прочетете повече какво е TLS и как е настроен, тъй като това ще ви помогне.
- person Ross Jacobs; 12.01.2020
