Избегайте показа https-запросов от перехвата пакетов

У меня есть приложение для Android с несколькими API, у которых есть SSL. Когда я пытаюсь выполнить анализ пакетов с помощью Fiddler2 или прокси-сервера charles после установки доверенного сертификата на свое устройство, я смог увидеть все вызовы HTTPS. Я сделал несколько тестов в других приложениях, чтобы убедиться, что это нормально, и обнаружил, что некоторые из них не будут отображаться или подключаться к запросу ssl. Как я могу избежать показа моего APIS при анализе пакетов. Я использую Lets Encrypt в своем домене для ssl


ssl-certificate man-in-the-middle packet-sniffers packet-capture charles-proxy
person rustin peter    schedule 09.01.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Это невозможно, и это также не должно быть необходимо.

Невозможно сказать, перехватывает ли устройство на пути между клиентом и сервером пакеты. Таким образом, вы не сможете разорвать соединение из-за того, что кто-то где-то нюхает. Это все равно, что смотреть на скачанный файл на своем компьютере и задаваться вопросом, сколько других копий существует в мире. Ни файл, ни ваша квитанция не хранят эти данные.

Это также не должно быть необходимым, поскольку HTTPS невосприимчив к MITM, если вы не являетесь участником на уровне штата. Это если у вас нет доступа к клиенту, и в этом случае вы можете добавить свой MITM в качестве доверенного ЦС. Для получения дополнительной информации об атаках HTTPS и MITM вы должны взглянуть на предыдущую попытку Казахстана. на нем

person Ross Jacobs    schedule 10.01.2020
comment
1. «Я где-то читал» не подходит для Stack Overflow. Google это и опубликовать ссылку вместо этого. 2. Прочтите больше о том, что такое TLS и как он настроен, так как это вам поможет. - person Ross Jacobs; 12.01.2020