最近我正在研究facebook移动应用程序的请求/响应模型。我正在使用小提琴手4从iphone 4s上的facebook应用程序中捕获所有的http / https对话。我所做的是将我的桌面设置为代理并通过它重定向所有iphone网络流量。顺便说一句,我已经配置了fiddler,以便所有https对话也是透明的。
我发现一个有趣的事情是,虽然我能够捕获图形和jsons的所有请求和响应。我从未找到任何关于评论或喜欢的请求,也无法找到任何明文新信息的信息。
我的问题是,我是否遗漏了某些内容或此类“纯文本”对话是在不同的传输层或某些不同的协议上发生的?
我怎样才能在我的小提琴手中进行这些对话?
由于
答案 0 :(得分:0)
与服务器API的所有通信都应该通过HTTPS运行。这意味着它是SSL加密的,您无法在代理上看到纯文本通信。该行为旨在保护用户数据。如果有人从你的iPhone到Facebook API的数据包中读取你的消息,你肯定不会感到高兴: - )
你说你做了“https透明”。我不知道你究竟是什么意思,但除非你通过伪造证书进行经典的中间人攻击,否则你没有机会看到HTTPS的开放文本通信。我认为FB已经覆盖并将检测证书的变更。
编辑:我刚刚使用Charles代理检查了它,是的,所有与Facebook API的通信(当然都是预期的)HTTPS,所以你永远不会看到任何开放式文本通信。
答案 1 :(得分:0)
如您所知,您可以轻松配置Fiddler来解密HTTPS流量。
我的第一个猜测是“Like”和“Comment”数据通过HTML5 WebSocket传输。您是否在应用程序的流量中看到任何WebSockets?