类似于光的双缝干涉实验， js 能不能检测到 fiddler 正在抓包？

用 js 实现一个 fiddle，与真正的 fiddle 一起抓包时，浏览器会显示出明暗相间的条纹，实现干涉？

@XiLingHost #10L 签章是不可伪造的，例如指纹签章，或者特殊的签章，例如 14L 所的那样，如果签章具备有伪造性，那么就无法证明，这个信封就是发起的。

靠网络侧信道还是能探测出一些的，Fiddler 作为一个 HTTP/HTTPS 代理，

经典的 WebSocket.bufferedAmount，在服务端把 TCP recv wnd 置零，调用 WebSocket.send() 会使得数据在代理也就是 Fiddler 而是浏览器中堆积。

现在 Chromium Project Fugu 的目的更是把所有能塞到浏览器里的 API 都塞进去...可以供给使用的侧信道只会越来越多。

https://developer.mozilla.org/en-US/docs/Web/API/WebSocket/bufferedAmount
https://www.chromium.org/teams/web-capabilities-fugu

@styletjy "想知道是怎样类似的"

光子能“感知”到是否有人在观察它，从而实现在“波”和“粒子”态之间的自由切换，我也想用 js 去察觉 fiddler 这双眼睛是否当前在观看抓包着数据流

总结一下，书读的太少，想的又太多

FF 有 getSecurityInfo API, https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/API/webRequest/getSecurityInfo
来看当前的证书信息

如果用 Fiddler 抓 https 必须安装 /信任 Fiddler 自己的证书, 那么就可以知道是否有 Fiddler

@zckevin 当然，如果要检测代理方是 Fiddler 还是其它应用，最靠谱的方法是找一堆各个版本 Chromium 的 0day/Nday 组个拼盘，提权后再判断。

仅仅针对 fiddler 抓包你可能有办法，直接在路由器对数据包 memcpy 你一点办法都没有，甚至不用路由器，修改网卡驱动，在发送数据包的时候直接 memcpy 出来。

如果用户开透明代理，然后再在服务器上用 fiddler 抓包，你本地浏览器啥也不知道

HTTPS+Certificate pinning

@mingtdlb 遇事不决，量子力学

想了想，不可以吧。不过探索精神可以

先说说你最初的目的吧，为什么想要检测 Fiddler 抓包？为什么不检测 Wireshark 呢？

来自 https://weibo.com/1812166904/JyJeNhqpP

双缝干涉实验体现了对象的状态会因是否存在观察者而改变

在 LZ 的语境里就是能否使代码的运行逻辑因是否存在抓包者而改变

在我看来挺类似的啊

@qiayue
@lff0305 我用 IE8 不就破了 websocket 了？？？

lz 上的什么野鸡培训班啊？都完全不了解 HTTPS 是干啥的么？以为 HTTPS 是给你加密数据包以防客户端解密出数据包原始内容的？还一门心思防止客户端解密 HTTPS 流量？想要加密自己老老实实把内容加密不好么？非要在 HTTPS 这种用来防止传输过程中被服务端客户端外的第三者窥探内容的机制上动歪脑筋？

@Maskeney 正解，想要防止抓包手段很多，最简单的就是端对端加密，类似 ss 和 v2r

@qiayue #34 看到这图的落款瞬间不想看内容了，Twitter 上频频爆论就是这个李靖，什么“用 SS 之后 HTTP 流量居然是明文的可能会被 ss-server 截获”、一边“招聘高潜 P5，但是要求不能变低”一边“招聘永远是个难题”，最新的又指责 safari 兼容性差，因为 safari 严格按照标准不认用-做日期连字符

曾经被网站探测过本地常用代理端口，
我记得开放的端口和未开放端口延迟有区别。