#15 楼 @quqing 所以敏捷里面很强调自动化和质量自建。我上次去参加敏捷之旅,好几个敏捷教练都有提到重复劳动都要用自动化来做。详细的你可以看下我那时候的笔记:https://testerhome.com/topics/3884
不过我也是刚转成这样没多久,之前做的事比较传统的软件,都是通过 testlink 来做的,用例详细到随便一个人都能执行。但现在时需要对业务有一定了解才可以,脑图只是用作思维导向,细节得靠自己对业务的熟悉来去做。所以还在适应中。
#9 楼 @niweyzhuce 赞~
#16 楼 @lihuazhang 多选目前限制不了每人可投的票。
#1 楼 @anonymous 帮你移到 测试管理 区了。
现在我们用脑图,但确实存在交接给别人测试的时候细节不够的问题。而且追溯起来没有 testlink 之类的用例管理系统那么方便。
#19 楼 @furiousslade 伪造证书是最初级的吧,安全水很深的。不过伪造证书都没能识别出来,这个确实就是个漏洞了。
不过试过一些常用软件,大部分伪造证书识别不出来。只要系统信任它就信任。
我之前也抓过 https 的包,简单研究过。说下我的理解。
app 是可以自定义证书的信任方式的。可以把证书 hardcode 到代码里验证,也可以使用系统的全局验证。
burpsuite 如果用自签名证书 (self-signed) 的话,会把网络分割为两部分。一部分是 burpsuite 与服务端,用的是服务端的证书,另一部分是 burpsuite 与客户端,用的是 burpsuite 指定的证书。和 @skytraveler 说的一样。
所以从客户端(手机)看来 burpsuite 的证书默认是不可信的。至于如何把它变得可信,可以把证书手动加入系统可信证书列表(Android 和 iOS 都可以做到,步骤和 @seveniruby 说的差不多,下载个 cer 然后打开就能导入了),这个对于浏览器基本就没问题了,因为浏览器对 https 的信任是依赖系统信任的,系统都说可信浏览器当然觉得没问题。 而 app 是可以自定义证书验证的这部分流程的,安全性高的会只信任自己服务端的证书而不信任其它任何证书,安全性不高的和浏览器一样信任系统信任的证书。
至于 @sanlengjingvv 提到的警告窗口,一般 app 都会直接把这个异常吃掉,不会专门做个弹出窗。要做到应该也是可以的。
至于像正文截图中的那种方法,我目前没试过,不知道情况如何。因为我要抓的包一般都拿不到服务器私钥。。。
我找到的官方文档:
Android: http://developer.android.com/training/articles/security-ssl.html
iOS:https://developer.apple.com/library/ios/documentation/NetworkingInternetWeb/Conceptual/NetworkingOverview/WorkingWithHTTPAndHTTPSRequests/WorkingWithHTTPAndHTTPSRequests.html
以前看过的一些参考文章:
how does https actually work
SSL 常见证书格式和转换
Installing Burp's CA Certificate
HTTPS 连接最初的若干毫秒
用黑客思维做测试——神器 Xposed 框架介绍
论客户端埋点
感谢各位支持~
话说我今天才留意到零钱多了 500。。。还问恒温这是啥。。。反射弧太长了。。。
能否说清晰点?在你的截图上没看出哪里重复加载了
#7 楼 @doctorq ok,已 mark :https://github.com/testerhome/testerhome/issues/20
是投票成功后必现是吗?浏览器版本能否在那个 issue 下 comment 记录一下?
好玩~~已 star
#56 楼 @monkey
#55 楼 @lihuazhang 。。。我删掉了。
#17 楼 @actionwind 我觉得你应该了解下 flaky 的意思。
另外,建议读下 http://article.yeeyan.org/view/66324/453360/。case 不稳定不代表被测软件有问题。我觉得这个才是 @oscarxie 想说的吧?
#11 楼 @lihuazhang 下次来体验下。现在静音对我而言比手感重要。