PnH簡介

翻譯于https://blog.mozilla.org/security/2013/08/22/plug-n-hack/

plug-n-Hack概覽

plug-n-Hack(pnH)是Mozilla安全團(tuán)隊(duì)為說明安全工具怎樣和瀏覽器以一種更加有效更加有用的方式交互而提出的一種標(biāo)準(zhǔn)。

安全研究人員們以前一般是用安全工具與瀏覽器連接工作，但是現(xiàn)在直接的集成工具要求安全平臺(tái)具有可寫性并且瀏覽器要有特定的插件。

配置安全工具和瀏覽器的連接交互是一個(gè)比較困難的過程。這雖然可以阻止沒有經(jīng)驗(yàn)的人胡亂使用這些工具，但是這些人可能包括更加需要這些工具的應(yīng)用開發(fā)者和測試者。

舉個(gè)例子吧，為了配置一個(gè)能控制HTTPS流量的截獲代理，使用者必須完成下面幾個(gè)步驟：

（1）通過工具配置瀏覽器代理

（2）配置工具的流量通過他們共同的代理

（3）將工具的SSL證書導(dǎo)入瀏覽器中

如果以上的步驟中有任意一步出錯(cuò)，那么瀏覽器將不能連接所有網(wǎng)絡(luò)——而調(diào)試這樣的問題是一個(gè)讓人非常不爽并且很耗時(shí)間的工作。

如果不將瀏覽器和安全工具交互集成在一起，那么使用者必須要將工具和瀏覽器開開關(guān)關(guān)數(shù)次才能完成一個(gè)十分簡單的任務(wù)，哪怕這樣的任務(wù)僅僅是截取一個(gè)HTTPS請求。

PnH 允許安全工具直接從瀏覽器中調(diào)用實(shí)現(xiàn)它們所支持的功能而不用切換。

PnH確實(shí)有一些明確的用途，特準(zhǔn)確地說是有關(guān)代理配置方面的用途。大部分PnH的功能是通用的，允許工具實(shí)現(xiàn)它們所需要的功能。

上述功能在火狐瀏覽器和常用工具間的實(shí)現(xiàn)讓我們團(tuán)隊(duì)有了領(lǐng)先優(yōu)勢，但是我們也清楚，只有將這種方法應(yīng)用到到所有瀏覽器和所有安全工具中才會(huì)對安全研究者、開發(fā)者和測試人員更有益處。于是我們設(shè)計(jì)開發(fā)了這款獨(dú)立于瀏覽器和工具之間的PnH協(xié)議。當(dāng)前版本的PnH協(xié)議和PnH火狐瀏覽器發(fā)行版在Mozilla公開證書2.0中發(fā)布了，這意味著PnH能夠靈活并入一些商業(yè)的工具而不需要再交費(fèi)。

https://renouncedthoughts.wordpress.com/2014/11/19/plug-n-hack-and-zap-manually-changed-proxy-settings-after-initial-pnh-configuration/

https://blog.mozilla.org/security/2013/08/22/plug-n-hack/

http://blog.portswigger.net/2013/09/burp-support-for-firefox-plug-n-hack.html