Обход снифера HTTP Analyzer

[bakanaev]

Добрый вечер. Возник вопрос. Каким образом браузеры во время работы через https не дают этому сниферу "внедряться" к себе и смотреть отправляемые данные? Скажем при работе моей софтины через https, снифер с легкостью показывает отправляемые данные на сайт https://site.com .
Как пример




Как быть? Как защититься ?

PS. HTTP Debugger так не умеет

[Человек_Борща]

Цитата:

Добрый вечер. Возник вопрос. Каким образом браузеры во время работы через https не дают этому сниферу "внедряться" к себе и смотреть отправляемые данные?

Никаким. HTTP Analyzer не умеет работать с HTTPS вообще. Если он видит данные значит канал не шифрован вообще.

Защититься в принципе нельзя, утилита типа Fiddler, ставит себя как proxy и прикручивает свой ssl-сертификат, и расшифровывает трафик.
про возможности Wireshark вообще молчу.
Так же есть несколько других способов выуживать расшифрованный трафик.

[саша40]

Потому что протокол другой, да к тому же защищенный.

[Lardes]

Как на счет такого варианта: скажем, TCP-протокол со своими дейтаграммами? Но. Все это опять же можно отследить. Если с данными крайне конфиденциально, то подумать о шифровании пакета/данных. И на стороне сервера необходимо расшифровать структуру пакета/данных.

[IvaniuS]

а вообще ЗАЧЕМ? ты что ММО пишешь?

[bakanaev]

Цитата:

HTTP Analyzer не умеет работать с HTTPS вообще. Если он видит данные значит канал не шифрован вообще.

Тут вы не правы, и вот почему.

1) Пробовал проснифать софт через HTTP Debugger, он ни чего не показал. Это навело меня на мысль что HTTP Analyzer внедряется в процесс.

2) Нашел один пост на стороннем форуме, где речь шла как раз о HTTP Analyzer, цитирую

Цитата:

к каждому процессу (по возможности) цепляется HookWinSockVх.dll (х-версия установленного httpanalyzer
Поэтому доступны "исходные данные". Надеюсь не нужно пояснять каким образом?

Если использовать софт, который показывает информацию (пакеты) идущую через сетевую карту - там не будет "исходных данных", будет зашифровано.

Это еще больше заставило верить меня что все было сделано правильно и канал у меня шифрован.

3) Ну и самое убедительное. Был поставлен VirtualBox, в него закинут софт и запущен там, HTTP Analyzer снифал VirtualBox. Результат, HTTP Analyzer не показал как софт делал соединения по https.

Так что HTTP Analyzer внедряется в процесс, это 100%. Но ведь браузеры это как-то обходят. Так что вопрос остается открытым.

Цитата:

Защититься в принципе нельзя, утилита типа Fiddler

Сегодня посмотрю что там да как, может все-таки можно.

Цитата:

а вообще ЗАЧЕМ? ты что ММО пишешь?

Пишу защиту от " кул хацкеров"))

[bakanaev]

Обратно ни кто не подскажет

[bakanaev]

Цитата:

Сообщение от Стертор

Искать заголовки окон не судьба?

И если запущен отключаться? Не думаю что это хорошо

[Le0n4iko_o]

Цитата:

Сообщение от bakanaev

Тут вы не правы, и вот почему.
1) Пробовал проснифать софт через HTTP Debugger, он ни чего не показал. Это навело меня на мысль что HTTP Analyzer внедряется в процесс.

Делай защиту от внедрение exe и проверяй , так ли это . Но тут я соглашусь с Человек_Борща
не думаю что столь простая программа внедряется автоматом во все процессы без посторонней помощи

[bakanaev]

Цитата:

Сообщение от Le0n4iko_o

Делай защиту от внедрение exe и проверяй , так ли это . Но тут я соглашусь с Человек_Борща
не думаю что столь простая программа внедряется автоматом во все процессы без посторонней помощи

Сейчас смотрел Fiddler'ом, соединение шифровано, все ок.
То что вы выложили, к сожаления не помогло. Снифер все равно смог подглядеть трафик.

Человек_Борща, как я и думал, если для обмена данными нужен клиентский сертификат, типа авторизация по сертификатам и т.д, Fiddler не может расшифровать https.