我用delphi编写了一个小应用程序来更新我的推特状态。 我使用Indy 10和OpenSSL,一切正常,这意味着我可以验证我的应用程序并更新我的状态。
问题是,如果我使用像“http分析器”这样的程序,我可以看到请求的标题,所以我可以看到像consumer_key这样的敏感信息。
这是正常的还是我没有正确设置iohandler(TIdSSLIOHandlerSocketOpenSSL)的迹象?
mSslIoHandler.SSLOptions.Method := sslvSSLv3;
mSslIoHandler.SSLOptions.Mode := sslmBoth;
mSslIoHandler.SSLOptions.VerifyMode := [];
mSslIoHandler.SSLOptions.VerifyDepth := 0;
答案 0 :(得分:1)
通过提供自己的SSL证书,HTTP分析器能够监视HTTP流量,就好像它是未加密的一样。我想你必须将分析仪IP地址和端口设置为仅代理,并在客户端保持目标服务器地址和端口不变。然后,分析器将能够使用自己的密钥解密您的客户端数据,并将其转发到目标服务器。 (这与'中间人'攻击的方式相同)
所以是的,这种类型的HTTP分析器(如Fiddler)是正常的