Webデバッガとして有名なFiddlerですが、これまでFiddlerはWindowsでしか利用できませんでした。
そのためLinuxやmacOSユーザーはBurp Suiteを利用していたのではないかと思います。もちろん、Burp Suiteが素晴らしいツールという理由もあるでしょう。わたしもBurpを愛用していました。
ただ、わたしは最近ではセキュリティ目的でBurp Suiteを利用する事が少なく、どちらかというとインフラエンジニアとしてWebデバッガを使う機会が多くなりました。
Fiddlerのメリットは導入が簡単な事です。
- ブラウザのプロキシ設定を変更する必要が無い
- SSL証明書を手動で設定する必要が無い
Burpを利用する場合、ブラウザの拡張機能を使うなどしてプロキシ設定を都度変更する必要があります。
また、Burpが発行するSSL証明書を手動でブラウザにインストールする必要がありました。
これらの面倒な作業がFiddlerでは不要なので導入が簡単です。
タップできる目次
Fiddlerのダウンロードとインストール
公式サイトからダウンロードします。
ダウンロードとインストールは無料で行うことができます。
Fiddler Everywhereを実行する
初回実行時、ログインを求められます。
Googleアカウントを持っていればアカウントを作成する必要はありません。
Fiddler Everywhereの実行画面は以下のようなものです。従来のものとは見た目が随分と変わっています。
わたしがFiddlerで気に入っているのはRequestとResponseが同時に見られるところです。
無料バージョンとプロバージョンの主な違い
プロバージョンはサブスクリプションで月額12ドルです。年間1万2千円~3千円くらいなので、Burp Suiteと比べるとかなり割安です。
基本的な機能はほとんど変わりません。
Auto Responder Rules
自動応答機能を使用すると、要求に応じて自動的にトリガーされるルールを作成できます。
この機能は、運用サーバーを更新せずにWebコードへの変更を簡単かつ迅速にテストしたり、以前にキャプチャしたバグ(SAZファイル内)を再現する事が可能となります。
また、完全にオフラインでウェブサイトのデモを実行する事も可能です。
Saved Sessions (SAZ)
セッションを保存しておくと後で再生したりAuto Responder Rulesで利用する事ができます。
本格的にFiddlerを利用する場合は保存できるセッション数に制限がない方が良いかもしれません。
まとめ
WEBアプリケーションのバグ探しといった用途では半自動化が可能なBurp Suiteの方が向いているのかも知れません。
しかし手動でパラメーターを変えながらバグ探しするのであればFiddlerで問題ありませんし、わたしはBurpの自動機能は利用していなかったのでFiddlerの方が好きかもしれないです。
好き嫌いありますが、インフラエンジニアがWEBデバッガとして利用するのであれば、Fiddlerの方が向いているのではないかと思います。
WireSharkと並んでFiddlerも使えるようになると活躍の場が広がるのではないかと思います。
