代码之家  ›  专栏  ›  技术社区  ›  Borek Bernard

从SWF文件检查HTTPS流量

flash https security flex
  •  3
  • Borek Bernard  · 技术社区  · 15 年前

    有没有办法检查从编译到SWF文件的flex应用程序的HTTPS流量?

    我想用小提琴来做这个 DO_NOT_TRUST_FiddlerRoot 对我 受信任的根证书颁发机构 所以我的IE现在可以访问其他HTML站点,这些站点通常会抱怨不可信的证书。但是,来自SWF文件的HTTPS流量仍然没有出现在Fiddler中,事实上,flex应用程序无法工作(我相信flex应用程序不支持具有自签名证书的HTTPS)。有办法解决吗?

    更新 :很明显,我对在Flash播放器下运行的SWF文件和服务器之间的通信很感兴趣(通常,像httpservice这样的flex组件将用于此目的)。SWF文件本身可以通过HTTP或HTTPS提供服务,这并不重要。

    澄清2 :不要假定源代码可用于SWF文件。如果是,可以使用FlashBuilder4的网络监视器。

    (我正在为我的客户评估可能的安全风险,只是为了清楚我的意图。)

    3 回复  |  直到 10 年前
        1
  •  6
  •   Robert Bak    15 年前

    尝试 Charles Proxy 它同时适用于HTTPS和AMF。有一个有一些小麻烦的免费版本。要使其与SSL一起工作,您需要转到proxy->proxy settings->ssl并添加要监视的流量域。

    ----来自注释----

    如果您拥有原始证书,则可以在代理服务器SSL证书中设置该证书,并由Charles颁发该证书,这将不会导致更多错误(因为代理服务器将拥有正确的证书)。

        2
  •  2
  •   Borek Bernard    15 年前

    有趣的是,fiddler今天开始显示https请求。flex应用程序的行为就像它无法访问服务器端(这可能是因为来自fiddler的响应用一个自签名证书签名,flash player正确地识别为不同于目标站点证书),但是,HTTP请求已经发送,并且通过fiddler可见。

    另外,罗伯特·贝克建议 Charles代理可以使用目标站点的证书 我想这是到目前为止最好的方法(我没有尝试过,因为小提琴实验已经证明对我们足够了)。

        3
  •  1
  •   Bryan Clover    15 年前

    Adobe的FlashBuilder4测试版有一个内置的网络监视器。

    在此了解更多信息: Flash Builder 4 beta

    根据文件:( Support for HTTPS protocol ) 

    The Network Monitor supports monitoring HTTPS calls to a server certified by a certificate 
authority (CA) or that has a self-signed certificate.

To monitor calls over the HTTPS protocol, modify the default preference for the Network Monitor
to ignore SSL security checks. Open the Preferences dialog and navigate to Flash Builder > 
Network Monitor.
    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号