-1

Delphi を使用して、Twitter のステータスを更新する小さなアプリケーションを作成しました。私は Indy 10 と OpenSSL を使用しており、すべて正常に動作しています。つまり、アプリの認証とステータスの更新の両方を行うことができます。

問題は、「http アナライザー」のようなプログラムを使用すると、リクエストのヘッダーを確認できるため、consumer_key などの機密情報を確認できることです。

それは正常ですか、それとも iohandler (TIdSSLIOHandlerSocketOpenSSL) を適切に設定していないという兆候ですか?

mSslIoHandler.SSLOptions.Method := sslvSSLv3;
mSslIoHandler.SSLOptions.Mode := sslmBoth;
mSslIoHandler.SSLOptions.VerifyMode := [];
mSslIoHandler.SSLOptions.VerifyDepth := 0;
4

1 に答える 1

1

独自の SSL 証明書を提供することで、HTTP アナライザーは HTTP トラフィックを暗号化されていないかのように監視できます。アナライザーの IP アドレスとポートをプロキシのみとして設定し、宛先サーバーのアドレスとポートをクライアントで変更しないでおく必要があると思います。その後、アナライザーは独自のキーでクライアント データを復号化し、それを宛先サーバーに転送できるようになります。(これは、「中間者」攻撃が機能するのと同じ方法です)

はい、このタイプの HTTP アナライザー (Fiddler など) では正常です。

于 2013-06-19T15:35:44.960 に答える