У меня есть приложение для Android с несколькими API, у которых есть SSL. Когда я пытаюсь выполнить анализ пакетов с помощью Fiddler2 или прокси-сервера charles после установки доверенного сертификата на свое устройство, я смог увидеть все вызовы HTTPS. Я сделал несколько тестов в других приложениях, чтобы убедиться, что это нормально, и обнаружил, что некоторые из них не будут отображаться или подключаться к запросу ssl. Как я могу избежать показа моего APIS при анализе пакетов. Я использую Lets Encrypt в своем домене для ssl
Избегайте показа https-запросов от перехвата пакетов
Ответы (1)
Это невозможно, и это также не должно быть необходимо.
Невозможно сказать, перехватывает ли устройство на пути между клиентом и сервером пакеты. Таким образом, вы не сможете разорвать соединение из-за того, что кто-то где-то нюхает. Это все равно, что смотреть на скачанный файл на своем компьютере и задаваться вопросом, сколько других копий существует в мире. Ни файл, ни ваша квитанция не хранят эти данные.
Это также не должно быть необходимым, поскольку HTTPS невосприимчив к MITM, если вы не являетесь участником на уровне штата. Это если у вас нет доступа к клиенту, и в этом случае вы можете добавить свой MITM в качестве доверенного ЦС. Для получения дополнительной информации об атаках HTTPS и MITM вы должны взглянуть на предыдущую попытку Казахстана. на нем