跳到主要內容

發表文章

目前顯示的是 6月, 2008的文章

修正與補充--為何 Fiddler2可以Decrypt captured SSL packets?

前篇文章有部分內容有誤在此補充修正:fiddler2 並不是直接竄改網卡封包的方式去accept connection,他本身是一個 web proxy , 他listen 在 port 8888 , 所以所有通往port 8888 的都會被窺視,仔細觀察;當fiddler2 開啟時,我們可以看ie 的 工具-->連線-->網際網路選項-->進階 會發現proxy偷偷被fiddler2改成127.0.0.1:8888,當fiddler2 關閉時,這個設定會回復原值 問題一:我們並沒有改這個設定值,為何會被偷改? 因為fiddler2透過wininet 去修改proxy 設定,他把自己設定為 system proxy 問題二:那firefox opera ... 又該如何使用fiddler2 ? 可能必須自行設定proxy 為127.0.0.1 8888,除此之外 http://www.gotnet.biz/UsingFiddler2WithFirefox.ashx 有其他的做法讓 firefox 更方便的是用fiddler2 參考資料: http://msdn.microsoft.com/en-us/library/bb250446(VS.85).aspx http://www.fiddlertool.com/Fiddler/help/httpsdecryption.asp

為何 Fiddler2可以Decrypt captured SSL packets?

-- fiddler2下載點: http://www.fiddler2.com/fiddler2/version.asp 設定:tools->Fiddler Option ->HTTPS->Capture HTTPS Connects --- Fiddler2 為何可以decrypt ssl packets? 我思考了後得到這個答案 正確的說法他不是decrypt ssl , 他是屬於使用欺瞞的方式解開ssl 封包 ie----ssl----webserver 我們知道,在ie 與 webserver 中間,如果走了ssl , 那麼由外面攔截封包是沒用的,所以;我們可以大膽的說,途中封包經過任何的proxy gateway .... 都不會因為封包被攔截而導致資料外洩那麼 fiddler2 是怎麼辦到的?我們可以使用IE(一定用ie)連接一個真實的SSL 的website https://www.ssl.com/ 仔細觀察當 fiddler2 開啟時和不開啟時,有什麼差異? 當fiddler2 開啟時會出現此訊息 --- 此網站的安全性憑證有問題。 此網站出示的安全性憑證並非由信任的憑證授權單位所發行。 安全性憑證問題可能表示其他人可能正在嘗試欺騙您,或是攔截您傳送到該伺服器的任何資料。 我們建議您關閉此網頁,而且不要繼續瀏覽此網站。 按這裡關閉此網頁。 繼續瀏覽此網站 (不建議)。 其他資訊 若您是按一下連結到達此頁面,請檢查網址列中的網址,確定它是您要瀏覽的位址。 當您使用網址 (例如 https://example.com) 瀏覽網站,請嘗試在網址前加上 'www' (例如 https://www.example.com)。 若選擇略過此錯誤並繼續,請勿在此網站輸入個人資訊。 有關進一步的詳細資料,請參閱 Internet Explorer 中的「憑證錯誤」。 ---- 而在fiddler2未開啟時,IE卻沒有出現此訊息 why?(這張圖應該可以清楚的表達他的運作模式) ie--ssl(憑證1)--fiddler2--ssl(憑證2)--website 因為fiddler2 是直接在wininet api(raw socket) 上運作,所以當你的ie 要連接ssl網站時,他是被 fiddler2(proxy) 直接從網卡a...

[微程式-技術研討會] 6月研討會 - 主講人vivian - 樣版系統相關簡介

目前程式與頁面結合的作法 1. 由美工人員先行編制頁面內容, 再行嵌入CGI程式中 2. XML + XSLT 3. 在CGI程式中將load進來的html檔案, 以正規表示法予以置換 採用以上方法的優缺點 1 由美工人員先行編制頁面內容, 再行嵌入CGI程式中 1.1 頁面與程式交雜在一起, 日後不易維護 1.2 程式人員需自行切割已完成的頁面, 再嵌入程式碼 1.3 日後頁面欲增加新功能或顯示欄位, 則需返回美工人員處做異動 1.4 遇相同功能的頁面無法做成模組化, 讓頁面可重複使用 1.5 實例:電腦教室系統、卡務系統 2 XML + XSLT 2.1 頁面與程式可以完全分離, 使得開發人員可各自維護 2.2 可將相同功能的頁面做成模組化, 讓頁面可重複使用 2.3 對XML異動Tag內容時, 無法透過簡易的方式告知頁面維護人員Tag資料內容已異動, 需透過XML Schema才可得知 2.4 實例:清算系統 3 在CGI程式中將load進來的html檔案, 以正規表示法予以置換 3.1 頁面與程式可以完全分離, 使得開發人員可各自維護 3.2 樣版與程式中對於取代用的變數名稱需一致, 才可順利被置換 3.3 異動(新增、修改、刪除)變數名稱, 需另行告知美工維護人員變數異動內容 3.4 較不易把相同功能的頁面做成模組化, 缺少頁面重用的理念 3.5 實例:清算系統報表處理 以上的方式各有優缺點 但我畢竟希望程式與頁面可以完全分離, 版面的設計交給專業的美工人員, 而美工人員只需以html為基準(畢竟美工人員大多使用Dreamweaver或Frontpage之類的來設計版面), 不需讓美工人員去學習程式語言(只需透過雙方已制定的協定文件), 而達到完全分工的效能, 這也就為什麼目前樣版這麼熱門的原因了 為什麼要使用樣版 ?? 1. 外觀的一致性 (Consistency of Appearance) It does...