は私が
tcpdumpのは
が、アプリケーションのデータが暗号化されている任意の-w /tmp/http.logを-i HTTPSプロトコルを使用している私のブラウザがサーバに送信するデータ(使用してtcpdumpの)を参照しようとしています(それが予想されたように) 。 サーバがhttpsのときに暗号化される前にデータを見る方法があるのだろうか?サーバがhttpsのときに送信されたデータを見る方法はありますか?
EDIT:暗号化トラフィックがサーバーをコントロールしている場合、あなたはヌル暗号を許可するように設定することができますFirefoxの、クロム、IE ...
のような一般的なWebブラウザによって作成された後、同じを使用するようにクライアントを強制。ヌル暗号は、 "暗号化されていない"と言うだけの素晴らしい方法です。これは暗号リストのオプションとしても非常に安全ではないので、決して配備すべきではありません。
クライアントに信頼できるキーを追加し、クライアントにプロキシを使用させることもできます。プロキシとの通信は、作成した信頼できるキーを使用し、送信前にデータを調べ、宛先サーバーのキーで暗号化します。これは、事実上、「ミドル・イン・アタック・イン」攻撃であり、証明書のピン割り当てなどの方法で打ち負かすことができます。一部の企業では、従業員のコンピュータの使用状況を追跡するためにこれを使用しています(そのように使用されると、多少の論争があります)。
厳密に言えば、両方とも暗号化を回避するための攻撃であり、暗号化される前にデータを見ることはありません。暗号化される前にそれを見るには、一般に、プログラムに直接リンクされたライブラリによって暗号化が行われるため、クライアントまたはサーバのいずれかを修正して送信する(またはデバッガを使用する)必要があります。
EDIT:ChromeとFirefoxのデベロッパーツールは、あなたが探しているものである可能性があります。「ネットワーク」タブのページをクリックすると(クロームでは、FFはありませんが、同じこと)、情報のほぼすべての側面を送受信できます。
返事をありがとう。 当然私はサーバーを制御しておらず、そこで設定を変更することはできません。 2つ目の点については、私が必要とする結果を与えるかどうかはわかりませんが、私の目的は、送信ボタンをクリックすると1つのWebページで生成されたデータを見ることです。(ajaxを使ってデータを送信するので、あなたが記述した2番目の方法を使用すると、そのデータを見ることができますか? – Suren
クライアントがChromeまたはFirefoxの場合、開発ツールには探しているものがある可能性があります。 (それを反映する答えを編集しました) –
Firefoxの開発者ツールが私に必要なものをくれた – Suren
お使いのコンピュータでCharles Proxy(無料試用版)を使用してください。証明書が固定されている場合、これは動作しません。これはおそらくブラウザの場合には当てはまりません。
どのようなアプリケーションでTLS暗号化トラフィックを作成していますか?カスタムアプリケーションまたはウェブブラウザ?そしてどのプラットフォームで。あなたの質問を編集し、追加情報を更新してください。 – Robert
私は編集しました。 – Suren
Firefox、Chrome、IEなどの一般的なWebブラウザには、TLS保護が適用される前にネットワークトラフィックを監視できる開発ツールが組み込まれています。 – Robert