最近我正在研究 facebook 移动应用的请求/响应模型。我正在使用 fiddler 4 从我的 iphone 4s 上的 facebook 应用程序中捕获所有 http/https 对话。我所做的是将我的桌面设置为代理并通过它重定向所有 iphone 网络流量。顺便说一句,我已经配置了提琴手,这样所有的 https 对话也是透明的。
我发现一件有趣的事情是,尽管我能够捕获图形和 json 的所有请求和响应。我从来没有发现任何关于评论或喜欢的请求,也找不到任何纯文本形式的新提要信息。
我的问题是,我是否遗漏了某些内容或此类“纯文本”对话发生在不同的传输层或使用某些不同的协议?
我怎样才能在我的提琴手中获得这些对话?
谢谢
与服务器 API 的所有通信都应通过 HTTPS 运行。这意味着它是 SSL 加密的,您无法在代理上看到纯文本通信。该行为旨在保护用户数据。如果有人从你的 iPhone 到 Facebook API 的数据包可以读取你的消息,你肯定不会高兴 :-)
您是说您使“https透明”。我不知道你到底是什么意思,但除非你通过伪造证书进行经典的中间人攻击,否则你没有机会看到 HTTPS 的开放文本通信。而且我认为 FB 已经涵盖并会检测证书的更改。
编辑:我刚刚使用 Charles 代理进行了检查,是的,与 Facebook API 的所有通信都是(当然正如预期的那样)HTTPS,所以你永远不会看到任何开放的文本通信。
如您所知,您可以轻松配置 Fiddler 来解密 HTTPS 流量。
我的第一个猜测是“Like”和“Comment”数据是通过 HTML5 WebSocket 传输的。您在应用程序的流量中看到任何 WebSocket 吗?