为何开放的 Android 不支持 MIMT，反而封闭的 iOS 支持呢？

这个开放不开放没关系，和技术选型有关系

所以安卓机做测试的时候就抓不了包。简直是智障一般的操作。

不考虑开发者和企业内部用 configurator 和自制证书装应用，iOS 只有 App Store 一条分发途径，恶意应用一被发现，换一套身份的成本高到可以阻止大部分有这个想法的人。有这个前提，不堵死开发者的路，不会影响系统的安全，说不定还能给自己的系统开发带来一些新的想法。

Android 只要用户手指一抖给权限，随便一个 2048 小游戏都可以安装 apk 包。所以它选择了在系统层面以最坏的恶意想象尽可能多可能的攻击场景并且把它们堵住。

也算是两家对开放 /安全这对矛盾的理解和实现的思路不同，不同的平台环境造就了不同的管理策略。

为什么某一段时期英美银行可以只用 HTTPS 登录，国内银行就得什么安全证书什么 U 盾全装上，也是网络环境不同。HTTPS 简单优雅，经不住刚几个月网龄的用户为了看个擦边球就随手装根证书，更防不了 ISP 层面的劫持。也不能就说国内银行心态封闭或者技术力不行。

安卓可以，只不过是把控制权交给了 APP，你抓不了包应该找你的开发让他去添加设置，而不是说安卓垃圾

楼上说安卓机器抓不了包的，是在搞笑吗

mitm 的工具比较少,感觉是收益问题吧,开发成本不算低,目前生态下较难获得稳定的购买和订阅收入
另外 说抓不了包的是什么鬼

@woodensail 自己的 APP 配置一下 network_security_config，别人的 APP root 一下手机挪动一下证书就好了

顺便一提
@lshero 我是做网页的，没机会配置微信。而且测试的手机也不会同意给我 root 。

@warcraft1236 我没发要求第三方软件开发者为我开放证书。

其实问题也不大就是了，一般需要抓包的都不是兼容性问题。所以后来就要求测试只测 ios 。安卓只做兼容性回归即可。
幸好 ios 能抓包。

@woodensail 没毛病，随随便便抓包第三方程序本来就不是合理需求。不能随随便便抓包才是正常的，这个事我站安卓

@woodensail 那直接用微信的那个调试工具看网页的请求不是更方便吗？

@warcraft1236 也是，所以 root 才是安卓测试机的正确使用方式

@lshero 哪个?

@woodensail https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/Web_Developer_Tools.html

@lshero 这个是基于 weinre 的，我之前就一直在用 weinre，在大部分情况下能解决问题，但是不是所有请求都抓得到，毕竟这是通过页面内部 js 进行抓包的。

说好的技术改变世界呢.gif

如果可以 那国内某些 app 可能就会引导用户去安装自己的根证书 幸亏安卓根证书和 VPN 提示不像 iOS NE 那样能隐藏

Man-in-the-middle attack 对用户是好是坏

Android 上 Http Catcher 不就是改包的...
只不过 iOS 生态还是大量 Trust 系统 CA 库, Android 生态早就各种内嵌 CA 了或用 network_security_config 禁用用户自添加 CA 了