我使用 Delphi 编写了一个小应用程序来更新我的 Twitter 状态。 我使用 Indy 10 和 OpenSSL,一切正常,这意味着我可以验证我的应用程序并更新我的状态。
问题是,如果我使用像“http 分析器”这样的程序,我可以看到请求的 header ,因此我可以看到像 consumer_key 这样的敏感信息。
这是正常现象还是表明我没有正确设置 iohandler (TIdSSLIOHandlerSocketOpenSSL)?
mSslIoHandler.SSLOptions.Method := sslvSSLv3;
mSslIoHandler.SSLOptions.Mode := sslmBoth;
mSslIoHandler.SSLOptions.VerifyMode := [];
mSslIoHandler.SSLOptions.VerifyDepth := 0;
最佳答案
通过提供自己的 SSL 证书,HTTP 分析器能够像未加密一样监控 HTTP 流量。我想你必须将分析器的 IP 地址和端口设置为仅代理,并在客户端中保持目标服务器地址和端口不变。然后分析器将能够用自己的 key 解密您的客户端数据,并将其转发到目标服务器。 (这与“中间人”攻击的工作方式相同)
所以是的,这种类型的 HTTP 分析器(例如 Fiddler)是正常的
关于delphi - 能够看到 https header 是否正常?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17192987/