1
xjdrew 2015-11-10 18:36:31 +08:00
如果 https 可以中间监听,那这协议还有什么意义呢?
如果真想实现,那要给客户机器添加根证书,你用这个根证书签名一个假的工行网站,然后再转发所有请求。 |
2
paw 2015-11-10 19:48:17 +08:00
|
3
kxjhlele 2015-11-10 20:15:59 +08:00
客户端证书问题 你要是能搞定 就可以监听。
|
4
nixilin OP @paw 降级是另一种实现形式,但是感觉工程量略大。因为无法统一所有网站的处理方式。有些狠一点的就真的手动拼接 https 字符串或者别的姿势,压根没法一个一个网站的匹配。
|
5
nixilin OP |
6
wdlth 2015-11-10 20:31:54 +08:00
正向代理加反向代理
|
7
7654 2015-11-10 20:36:22 +08:00
我想说的是微软的 ISA 或 TMG 有这功能
|
8
mornlight 2015-11-10 20:39:37 +08:00
如果客户端没有信任你自签名的证书,中间代理理论上无法监听到明文 https 通信。
|
9
ericFork 2015-11-10 21:13:29 +08:00
没人好奇楼主想监听和修改的内容是什么吗?
|
10
msg7086 2015-11-10 22:39:18 +08:00
> proxy 主机与用户有完整的证书信任关系,也就是说用户装了 proxy 所在机构相关的根证书。
这个是最难的。你要么得获得用户电脑的管理员权限,要么得攻占下某个 CA 。 前者可能某个数字或者企鹅勉强能做到。 后者明显是想搞个大新闻。 |
12
hellogbk 2015-11-10 23:40:08 +08:00
跟楼主各位说的差不多。
经过代理的流量都是加密的。 你能做的只是在握手阶段截取 SSL 证书换成你自己的。才有可能解密 HTTPS 的流量 但是要想让客户端信任你的证书,你就必须把你的根证书装到客户端系统上去。。 |
13
nixilin OP |
15
nixilin OP @msg7086 各种管家/卫士/助手实在难缠。我本来也就没有 win32 编程基础,与其费心思给马做免杀过这些东东,还不如在 proxy 层动动脑子。
|
17
nixilin OP |