能够看到 https 标头是否正常?

【问题标题】:Is it normal to be able to see https headers?能够看到 https 标头是否正常?
【发布时间】:2013-06-19 13:48:22
【问题描述】:

我使用 delphi 编写了一个小应用程序来更新我的 twitter 状态。 我使用 Indy 10 和 OpenSSL,一切正常,这意味着我可以验证我的应用程序并更新我的状态。

问题是,如果我使用“http 分析器”之类的程序,我可以看到请求的标头,因此我可以看到像 consumer_key 这样的敏感信息。

这是正常的还是表明我没有正确设置 iohandler (TIdSSLIOHandlerSocketOpenSSL)?

mSslIoHandler.SSLOptions.Method := sslvSSLv3;
mSslIoHandler.SSLOptions.Mode := sslmBoth;
mSslIoHandler.SSLOptions.VerifyMode := [];
mSslIoHandler.SSLOptions.VerifyDepth := 0;

【问题讨论】:

  • 如果您希望使用 SSL 连接,那肯定是不正常的。您是否连接到 HTTPS 网址?哦,为什么要将选择限制为 SSLv3 协议,因为 OpenSSL 支持 TLS 1.0(1.1 和 1.2 取决于版本)?
  • @RemiGacogne 是的,我确实连接到 https url。 SSLv3 没有特殊原因,仍处于测试模式,所以我将转向 TLS。

标签: delphi ssl https indy


【解决方案1】:

通过提供自己的 SSL 证书,HTTP 分析器能够监控 HTTP 流量,就像它未加密一样。我猜您必须将分析仪 IP 地址和端口仅设置为代理,并在客户端中保持目标服务器地址和端口不变。然后分析器将能够使用自己的密钥解密您的客户端数据,并将其转发到目标服务器。 (这与“中间人”攻击的工作方式相同)

所以是的,这种类型的 HTTP 分析器(例如 Fiddler)是正常的

【讨论】:

  • 对于像 Fiddler 这样的 MITM 分析器来说,这是真的。数据包嗅探器(如 Wireshark)无法解密 HTTPS 数据,除非配置了服务器的私钥(请参阅wiki.wireshark.org/SSL)。
猜你喜欢
  • 2022-07-24
  • 2010-09-16
  • 1970-01-01
  • 1970-01-01
  • 2021-05-09
  • 1970-01-01
  • 2012-02-02
  • 2016-04-10
  • 2022-11-16
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode