Как я могу перехватить ответ HTTPS на стороне клиента? - PullRequest
Новая
       81

Как я могу перехватить ответ HTTPS на стороне клиента?

0 голосов
/ 19 августа 2011

Допустим, я звоню на HTTPS-сервер. Сервер отправляет мне ответ http http. Есть ли способ изменить http-ответ на стороне клиента? (т.е. любой javascript..etc)

Спасибо.

--- ОБНОВЛЕНИЕ ----

Что ж, для HTTP-запроса, скажем, javascript, выполняющий ajax-вызов с query = 123456. Конечно, я могу перехватить его и изменить запрос = 123456 до его отправки. (если я хочу взломать).

Но когда ответ http возвращается, возможно ли, что я могу перехватить данные и изменить их, прежде чем они достигнут браузера. при условии, что это HTTPS.

--- Подробнее ---

Реальная программа, которую я пишу, требует защиты данных с сервера. Поскольку код javascript будет общедоступным (таким образом, любой может добавить информацию на свою страницу), я должен убедиться, что данные ответа, отправленные с моего сервера, будут такими же, как те, которые получает сторона JavaScript.

извините за первоначальный вопрос, который не ясен. :)

Ответы [ 2 ]

2 голосов
/ 19 августа 2011

Лучшее, что вы можете сделать, это убедиться, что данные, отправленные с сервера, верны. Это все. На стороне клиента все ставки отключены по определению. Если подключение к серверу защищено с помощью SSL, то сложнее для любого, кто будет связываться с данными, но это далеко не невозможно. Одним из преимуществ HTTPS-соединения является подтверждение личности сервера. Это отображается пользователю в виде замка безопасности, зеленой адресной строки или еще чего-нибудь. И наоборот, когда сертификат недействителен, браузер будет жаловаться пользователю об этом. Однако все зависит от пользователя - замечать или игнорировать все это.

Javascript можно манипулировать на клиенте или атакой «человек посередине» между вашим сервером и клиентом, данные можно манипулировать одинаково, на стороне клиента ничего не гарантируется. Вот почему клиенту никогда нельзя доверять делать что-то важное, серверу нужно иметь последнее слово во всем. SSL может помочь пользователю указать, является ли соединение надежным или нет, но это не гарантия.

1 голос
/ 19 августа 2011

Вы можете создать прокси, и ваш трафик будет проходить через прокси. Прокси-сервер должен, используя соответствующий сертификат, «расшифровывать» трафик, а затем «шифровать» его и отправлять в пути. Но почему вы хотите? Это звучит злобно.

Я не понимаю, что будут делать хорошие изменяющиеся данные, поступающие в браузер, если вы не пытаетесь обмануть просителя.

Попробуйте немного поиграть с фидлером.

...