1
我正在寫一個客戶端從通過HTTPS服務器(不是我的控制之下)檢索數據並工作正常。SSL這樣的流量不能嗅
我想做的是讓我的請求到服務器不能被客戶端計算機上的人使用Fiddler等嗅探。那麼有什麼辦法使標頭/ URL加密之前,他們可以被攔截提琴手?
A
回答
3
我的提琴手的理解是在客戶端和冒充代理服務器之間的站在英寸你是對的,它看起來像提琴手有能力攔截HTTPS傳輸。
但是,根據Fiddler's documentation Fiddler提供的證書將不會被您的C#應用程序信任。 C#應用程序會拋出一個異常,說它無法驗證對遠程服務器的信任。沒有數據會被傳輸。
如果你真的偏執狂,你可以做所謂的「證書鎖定」,你的C#應用程序將從HTTPS服務器尋找特定的證書,以確保它是你正在尋找的確切服務器。但是,如果證書有變化,您需要更新您的應用程序。
編輯:重讀的文檔,提琴手確實爲它使用由Windows信任證書(並使用那些值得信賴的商店,如Chrome瀏覽器和.NET隨後的任何應用程序)的方式。如果這樣做了,您的C#應用程序將很可能正常運行,您的流量對Fiddler完全可見。如果您出於某種原因擔心這個問題,我會查看證書鎖定。
+0
好的,我應該說,小提琴手目前沒有麻煩閱讀我發送的數據。釘住證書的東西看起來像是要走的路。 – 2013-03-03 04:17:58
相關問題
- 1. Android:防止嗅探(例如與CharlesProxy)的SSL流量
- 2. 使用Burp Suite Proxy與Wireshark嗅探https/SSL流量
- 3. Scapy嗅探SSL
- 4. HTTPS/SSL嗅探
- 5. 嗅嗅和發送UDP流量使用Scapy的
- 6. 我怎麼能嗅探Java中的網絡流量?
- 7. 如何查看(嗅探)http流量?
- 8. 嗅探Android應用程序HTTPS流量
- 9. DROP iptables的SSL流量(443)
- 10. 提琴手不嗅探來自ASP.NET網站的SOAP流量
- 11. 我不能這樣
- 12. D-Bus:有沒有「D-Bus嗅探器」這樣的東西?
- 13. 不能讀「的ns_」:沒有這樣的變量
- 14. scapy:修改嗅探流量的TTL的正確方法
- 15. 包嗅探器不能嗅出SIP電話(VoIP)數據包
- 16. 環回時的流量可以被數據包嗅探嗎?
- 17. 如何嗅探Flash文件執行的流量?
- 18. 嗅探iPhone和Mac之間的bonjour流量
- 19. 其他EC2用戶是否可以嗅探我的流量?
- 20. 嗅探Android應用程序的https流量
- 21. Asp.net HttpWebResponse - 我怎樣才能不依賴WebException流量控制?
- 22. SRA不能有這樣的操作數?
- 23. 嗅探功能工作不贏
- 24. include():未能打開流:沒有這樣的文件或目錄
- 25. laravel - 未能打開流:沒有這樣的文件或目錄
- 26. 是否有可能在Java8流中重寫這樣的代碼?
- 27. PHPExcel未能打開流PHPExcel_Writer_PDF_DomPDF.php沒有這樣的文件
- 28. PHP - 未能打開流:沒有這樣的主機被稱爲
- 29. 未能打開流:沒有這樣的文件
- 30. PHP未能打開流 - 沒有這樣的文件或目錄
[這](http://www.fiddler2.com/fiddler/help/httpsdecryption.asp)解釋如何提琴手在中間進行攻擊一個人來解密HTTPS流量。也許這可以給你一些如何挫敗它的想法。 – mbeckish 2013-03-03 02:01:22
相關:http://stackoverflow.com/q/10808930/21727 – mbeckish 2013-03-03 02:08:31
如果你不信任你的代碼在運行的計算機,那麼你有一個很大的問題。如果用戶可以去閱讀(甚至修改)你的代碼,那麼沒有任何加密通信會有幫助。 – svick 2013-03-03 03:18:54