2. 질의 응답
  3. https 헤더를 볼 수 있습니까?

https 헤더를 볼 수 있습니까?

2013-06-19 3 views
-1

나는 twitter 상태를 업데이트하기 위해 delphi를 사용하는 작은 응용 프로그램을 작성했습니다. Indy 10과 OpenSSL을 사용하고 모든 것이 잘 작동합니다. 즉, 내 앱을 인증하고 내 상태를 업데이트 할 수 있습니다.https 헤더를 볼 수 있습니까?

"http 분석기"와 같은 프로그램을 사용하면 요청의 헤더를 볼 수 있으므로 consumer_key와 같은 중요한 정보를 볼 수 있습니다.

정상입니까 아니면 내가 iohandler (TIdSSLIOHandlerSocketOpenSSL)를 제대로 설정하지 않았는가요?

mSslIoHandler.SSLOptions.Method := sslvSSLv3; 
mSslIoHandler.SSLOptions.Mode := sslmBoth; 
mSslIoHandler.SSLOptions.VerifyMode := []; 
mSslIoHandler.SSLOptions.VerifyDepth := 0;

출처

2013-06-19 le0nidas

+0

이 유형의 normall입니다 (이것은 middle' 공격에 '사람이 작업하는 것과 같은 방법입니다) SSL 연결을 사용하십시오. HTTPS URL에 연결하고 있습니까? OpenSSL이 TLS 1.0 (버전에 따라 1.1 및 1.2)을 지원하므로 아, 왜 SSLv3 프로토콜로 선택을 제한합니까? –

+0

왜 downvote? –

+0

@RemiGacogne 예 https url에 연결합니다. 아직 SSLv3에 대한 특별한 이유가 없기 때문에 TLS로 이동할 것입니다. – le0nidas

답변

1

HTTP 분석기는 자체 SSL 인증서를 제공하여 HTTP 트래픽을 암호화되지 않은 것처럼 모니터링 할 수 있습니다. 분석기 IP 주소와 포트를 프록시로만 설정하고 대상 서버 주소와 포트는 클라이언트에 그대로 두어야합니다. 그런 다음 분석기는 자체 키를 사용하여 클라이언트 데이터를 해독하고 대상 서버로 전달할 수 있습니다. 당신이 기대하는 경우

그래서 그래, 그렇지 않은 정상 (예 : 피들러와 같은) HTTP 분석기 확실히

출처

2013-06-19 15:35:44 mjn

+0

Fiddler와 같은 MITM 분석기의 경우이 사실입니다. Wireshark와 같은 패킷 스니퍼는 서버의 개인 키 (http://wiki.wireshark.org/SSL 참조)로 구성하지 않는 한 HTTPS 데이터를 해독 할 수 없습니다. –

관련 문제

 관련 문제