Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Посмотрел, TLSv1.2 показывает только в первых пакетах, потом перевод на http. Fiddler делает также. Наверно в браузер подсовывается сертификат от сниффера, поэтому всё видно. Из-за нехватки знаний сам запутался. Будем использовать certificate pinning.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Да, видимо сниффер подкладывает сертификат в браузер. Ваше предложение про certificate pinning видимо наше решение! Будем обрывать коннект если проверка сертификата не прошла.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Я так понимаю в исходящие запросы.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Если снифить HTTPS, wireshark предлагает внедрять свой сертификат.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Сниферы не умеют расшифровывать TLS трафик, если им специально не указать ключи шифрования. Это точно.

Заходим на _https://google.ru, браузер показывает, что используется протокол TLS 1.2, но при этом я вижу исходный текст страницы в сниффере. Что я недопонимаю?

То есть, если злоумышленник уже знает формат запросов (и вы не планируете менять его)

Именно планируется поменять и спрятать\зашифровать.

Наверное, будет проще, если вы опишите подробнее, ваш стенд

Весть тестовый проект в локальной сети.
Машина 1: Веб сервер nginx, настроен по рекомендациям с хабра, конфиги типа А+. Выпущены самоподписанные сертификаты, в конфиг добавлены. Пусть адрес 192.168.0.100
Машина 2: Приложение, которое ходит на адрес https. Снифферы HTTPAnalyzer, WireShark. Приложение использует Indy, в компоненте указано использовать протокол TLS 1.2.
Действия: Запускаем Сниффер(ы), после приложение идет по адресу _https://192.168.0.100/addres . Вот тут я ожидаю в сниффере увидеть абракатабру, а вижу весь исходящий и входящий трафик как есть.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

https://en.wikipedia.org/wiki/HTTP_Strict_Transpor...

Всё так и сделано.

А то получается, что у вас спрашивают - "можно сниффить?", вы говорите "да, конечно!", а потом пишете здесь и жалуетесь на сниффер.

Тут не совсем понял.. Получается что все сайты так разрешают? Я же не только себя могу сниффить. Я что то недопонимаю.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Если злоумышленник не знает адреса для подключения, то никакого подбора не получится. Я предполагал, что TLS зашифрует трафик, т.к. в запросе присутствуют ключи, а получается, что снифферы его расшифровывают. Я повторю, что мне надо спрятать пусть если не адрес, то хотя бы зашифровать трафик так, чтобы злоумышленники не смогли видеть и подбирать к ним ключи.

Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

С HTTP идет редирект на HTTPS. Другие сайты конечно пробовали, тот же Google.ru также сниффится. Сертификат по любому подсовывает, к примеру wireshark даже разрешения спрашивает. Про certificate pinning сейчас почитаю!