如果我在服务器和 Android 客户端之间交换 https 数据包,Android 客户端的用户是否容易获得加密流量中的任何内容?如果安全取决于用户无法以某种方式读取 https 数据包中的内容,我是否应该认为所有此类流量都是不安全的?
最佳答案
有几种方法可以检查 HTTPS 数据包的内容。 man-in-the-middle-attack可能危及 HTTPS 流量。对于中间人,恶意第三方会拦截试图通信的两方之间的消息,并检查或更改他们的消息。使用 HTTPS,第三方充当代理,并且需要欺骗一方信任他们颁发的证书,以便第三方可以解密他们的 SSL 连接。
用户也可以在将自己的流量发送到您的服务器之前代理他们自己的流量。使用 OWASP ZAP 等工具或 Burp Suite用户可以设置代理来拦截自己的流量。用户可以看到他们发送的每个请求的内容,以及来自服务器的每个响应,即使使用 HTTPS 连接也是如此。使用拦截代理,他们甚至可以在将请求发送到您的服务器之前更改他们的 Android 设备发出的请求。本质上,用户对自己使用中间人攻击。
简而言之,用户可以找到轻松查看进出自己设备的 HTTPS 流量的方法。
关于android - 应用程序的用户可以看到 https 数据包中的内容吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34145690/