Delphi 能够看到https头是正常的吗?
我已经使用delphi编写了一个小应用程序来更新我的twitter状态。 我使用Indy 10和OpenSSL,一切正常,这意味着我可以验证我的应用程序并更新我的状态 问题是,如果我使用像“http analyzer”这样的程序,我可以看到请求的头,因此我可以看到敏感信息,如消费者密钥 这是正常现象还是表明我没有正确设置iohandler(TIdSSLIOHandlerSocketOpenSSL)Delphi 能够看到https头是正常的吗?,delphi,ssl,https,indy,Delphi,Ssl,Https,Indy,我已经使用delphi编写了一个小应用程序来更新我的twitter状态。 我使用Indy 10和OpenSSL,一切正常,这意味着我可以验证我的应用程序并更新我的状态 问题是,如果我使用像“http analyzer”这样的程序,我可以看到请求的头,因此我可以看到敏感信息,如消费者密钥 这是正常现象还是表明我没有正确设置iohandler(TIdSSLIOHandlerSocketOpenSSL) 通过提供自己的SSL证书,HTTP分析器能够像未加密一样监视HTTP流量。我猜您必须将analyz
通过提供自己的SSL证书,HTTP分析器能够像未加密一样监视HTTP流量。我猜您必须将analyzer IP地址和端口设置为仅代理,并在客户端中保持目标服务器地址和端口不变。然后,分析器将能够使用自己的密钥解密客户端数据,并将其转发到目标服务器。(这与“中间人”的攻击方式相同)
因此,是的,使用这种类型的HTTP分析器(如Fiddler)是正常的。如果您希望使用SSL连接,则肯定不正常。您正在连接到HTTPS url吗?哦,还有,既然OpenSSL支持TLS 1.0(1.1和1.2取决于版本),为什么您要将选择限制在SSLv3协议上?@RemiGacogne是的,我确实连接到https url。对于仍然处于测试模式的SSLv3没有特殊原因,所以我将转到TLS。对于MITM分析仪,如Fiddler,这是正确的。数据包嗅探器,如Wireshark,将无法解密HTTPS数据,除非配置了服务器的私钥(请参阅)。
mSslIoHandler.SSLOptions.Method := sslvSSLv3;
mSslIoHandler.SSLOptions.Mode := sslmBoth;
mSslIoHandler.SSLOptions.VerifyMode := [];
mSslIoHandler.SSLOptions.VerifyDepth := 0;