【发布时间】:2015-11-06 13:48:48
【问题描述】:
我们正在构建一个 Android 应用,我们担心 REST API 会被抓取。
如果有人设法在计算机上安装应用程序并使用 Wireshark 等软件来嗅探连接,是否有可能检测到应用程序使用的 REST 端点?
连接是 HTTPS
如果可能,有什么方法可以阻止人们自行使用这些 REST API?
【问题讨论】:
标签: rest ssl https fiddler wireshark
【发布时间】:2015-11-06 13:48:48
【问题描述】:
我们正在构建一个 Android 应用程序......如果有人设法在计算机上安装该应用程序
也就是说,您担心的是 1) 一台运行 Android 的计算机或任何 Google 的“Android+Chrome 合并”的东西,或者 2) 一台运行某些可以运行 Android 应用程序的软件的计算机?
并使用像 Wireshark 这样的软件来嗅探连接? ...连接是HTTPS
嗅探 SSL/TLS 连接会给你一堆加密数据,除非you give Wireshark enough data to decrypt it, and it's a situation where it can decrypt it。
但是,诸如Fiddler 或Charles 之类的调试代理可能能够捕获流量并在 Wireshark 无法解密的情况下对其进行解密。
【讨论】:
-
你是对的,但是如何防止Charles代理嗅探