HTTPS via HttpClient Jakarta(apache)

Givet at HTTPS har til formål at beskytte må snifning, så er det vel som det skal være !?!?

præcis.. du har først problemer det øjeblik din sniffer viser det du sender over HTTPS :)

Det har i ikke helt ret i,
Det er korrekt at hvis jeg opfangede data fra et andet node, så skulle det selvfølgelig være krypteret, men når det er på samme computer skulle det gerne vises.

Hvis jeg laver kaldene via IE eller FF så virker det fint, og min http analyzer viser de korrekte requests.

Det kommer vel an på hvor i processen du sniffer.. dine browsere sniffer garanteret det indhold der vil blive sendt afsted, og derfor før det krypteres. Din HTTP Analyzer sniffer garanteret på dit netkort, og viser derfor den trafik, som rent faktisk sendes over netværket, når det forlader din maskine.

På netkortet ? Vil jo virke lidt dumt, når det den skal bruge finder sted på applikations niveau.

Browserne sender også kryptere når det er localhost.

Men et kig på dokumentation for dit sniffer tool siger:

Improved: Support OpenSSL HTTPS (Stand-Alone) , With the new support to OpenSSL API , now HTTPS is available if the application uses the Microsoft WININET API , Mozilla NSS API or OpenSSL API.

D.v.s. at det sniffer HTTPS ved at hooke sig ind i de DLL'er som står for HTTPS d.v.s. inden data bliver krypteret.

Men det virker så kun for kode der bruger disse.

Og det gør Java ikke.

Er det på nogen måder muligt så ?

Alt er jo muligt når det er open source og du princioielt kan tilrette koden !!!!

Men noget så drastisk er næppe nødvendigt.

Prøv og se om ikke dette her kan bruges:

http://hc.apache.org/httpclient-3.x/logging.html

Og da du sikkert bruger nyeste version så er det:

http://hc.apache.org/httpcomponents-client-4.0.1/logging.html

OK ?