Charles Proxy

 (charlesproxy.com)
2 Punkte von GN⁺ 2025-12-21 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Web-Debugging-Proxy-Tool, mit dem sich HTTP- und HTTPS-Traffic visuell analysieren lässt; Anfragen, Antworten und Header-Informationen können vollständig eingesehen werden
  • Integriert Reverse Proxy-, SSL Proxy- und HTTP Monitor-Funktionen, sodass Entwickler die Netzwerkkommunikation detailliert nachverfolgen können
  • Die neueste Version Charles 5.0.3 behebt Leistungsprobleme unter macOS und enthält kleinere Verbesserungen
  • UI-Verbesserungen, Dark-Mode-Unterstützung und Performance-Steigerungen wurden seit der 5.x-Beta fortlaufend ergänzt
  • Ein etabliertes Web-Debugging-Tool, das seit Mitte der 2000er kontinuierlich aktualisiert wird und auch in Entwicklungsumgebungen für Mobile, Flash und iOS breit eingesetzt wird

Überblick

  • Charles ist ein Web-Debugging-Proxy, mit dem Entwickler den gesamten HTTP- und SSL/HTTPS-Traffic zwischen ihrem Computer und dem Internet sehen können
    • Zeigt Anfragen (requests), Antworten (responses) und HTTP-Header einschließlich Cookie- und Cache-Informationen an
    • Bietet integriert HTTP Proxy-, HTTPS Proxy-, Reverse Proxy- und HTTP Monitor-Funktionen

Jüngste Entwicklung

  • 20. September 2025: Release von Charles 5.0.3, Behebung von macOS-Leistungsproblemen und kleinere Verbesserungen
  • 9. August 2025: Release von 5.0.2, Bugfixes und kleinere Verbesserungen
  • 12. März 2025: Offizieller Release von Charles 5
  • 24. Januar 2024: Veröffentlichung von 5 Beta 13 mit verbesserter Windows-UI und Dark-Mode-Unterstützung
  • Juli bis April 2023: In den Beta-Versionen 9 bis 11 wurden UI- und Performance-Verbesserungen, neue Funktionen und Bugfixes ergänzt
  • September 2022: Release von 4.6.3 mit Java-11-Update und Bugfixes
  • Dezember 2021: Hinweis zur log4j2-Sicherheitslücke — Charles verwendet kein log4j und ist daher nicht betroffen
  • 2020 bis 2019: In den Versionen 4.6 bis 4.5 wurden Dark Mode, SSL-Zertifikatsverbesserungen und Patches für Sicherheitslücken eingeführt
  • Mai 2018: Veröffentlichung von Charles für iOS
  • 2016: Release von Charles 4 mit Unterstützung für HTTP/2 und IPv6
  • 2006 bis 2009: Unterstützung für AMF, SOAP und JSON hinzugefügt sowie umfangreiche UI-Verbesserungen
  • 2005: Einführung der automatischen Proxy-Konfiguration für Firefox und Funktionen zur Analyse von Flash Remoting
  • 2003 bis 2004: Etablierung zentraler Funktionen wie SSL, Reverse Proxy und SOCKS Proxy

Hauptfunktionen

  • Monitoring von HTTP/HTTPS-Traffic: Echtzeit-Einblick in Anfragen, Antworten, Header, Cookies und Cache-Informationen
  • SSL Proxy und Reverse Proxy: Unterstützung bei der Analyse verschlüsselter Kommunikation und der Nachverfolgung von Serverantworten
  • UI-basierte Analysewerkzeuge: Vergleich von Anfragen/Antworten, Traffic-Filterung und Speichern von Sitzungen
  • Unterstützung für verschiedene Plattformen: Läuft unter macOS, Windows, iOS und weiteren Systemen
  • Verbesserungen bei Performance und Stabilität: Kontinuierliche Bugfixes und Updates bei der Code-Signierung

Externe Reviews und Anwendungsfälle

  • Andrew Bardallis: Stellt vor, wie sich mit Charles zusammen mit mobilen Geräten Traffic beobachten und verändern lässt
  • Tobias Sjösten: Beschreibt Monitoring- und Debugging-Beispiele mit Charles
  • Dan Grigsby: Verwendet Charles zur Analyse von XML-Daten aus dem iPhone App Store
  • Gary Rogers: Nutzt Charles zum Debugging von iPhone-HTTP-Verbindungen
  • MadeByPi, Frankie Loscavio, Darren Richardson, uberGeek und andere heben die Effizienz beim Debugging in Flash- und Flex-Entwicklungsumgebungen hervor

Gesamtbewertung

  • Durch mehr als 20 Jahre kontinuierlicher Updates hat sich Charles als unverzichtbares Tool zur Netzwerkanalyse für Web- und Mobile-Entwickler etabliert
  • Mit Unterstützung für verschiedene Protokolle und einer intuitiven UI steigert es die Debugging-Effizienz, während Verbesserungen bei Sicherheit, Performance und Kompatibilität kontinuierlich fortgeführt werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-12-21
Hacker-News-Kommentare

  • Ich möchte unbedingt Fiddler erwähnen, ein Tool, das ich früher wirklich geliebt habe.
    Als ich es vor fast 20 Jahren zum ersten Mal benutzt habe, wirkte es wie ein Werkzeug aus der Zukunft. Soweit ich mich erinnere, war es damals leistungsfähiger als Charles.
    Ursprünglich war es nur für Windows, aber Builds für andere Plattformen waren in Vorbereitung. Später wurde es übernommen, die Roadmap änderte sich, und ich habe Windows hinter mir gelassen.
    Offizielle Fiddler-Website

    • Stimme ich völlig zu. Ich erzähle gelegentlich auch von den Erinnerungen an dieses großartige Tool.
      Mich würde interessieren, ob du jemals eine Alternative für macOS gefunden hast. Ich habe bis heute nichts wirklich Passendes gefunden.

  • Es war ein verstecktes Juwel.
    Die nächste kostenlose Alternative ist mitmproxy, aber ehrlich gesagt ist das kein echter Vergleich.
    Natürlich gibt es auch Wireshark, aber das ist zu allgemein und hat eine steile Lernkurve.
    Früher konnte man es ohne Abo nutzen, und es war das Geld absolut wert.

    • Im Sommer habe ich versucht, einen Klon von Charles Proxy zu bauen. Die Struktur war iOS-VPN → mitm → eigenes Root-Zertifikat → Logging.
      Für Traffic-Sniffing und erneute Verschlüsselung habe ich gomitmproxy verwendet.
      Den Source hatte ich hier hochgeladen, aber mein Git-Server ist kaputtgegangen und ich konnte ihn nicht wiederherstellen.
      Ich frage mich, ob KI heutzutage meinen schlampigen Code in einen vollständigen Charles-Klon verwandeln könnte.
      Was mich allerdings nervt: Apple verlangt für den Zugriff auf die Packet Tunnel API ein kostenpflichtiges Entwicklerkonto. Da man nicht einmal im Simulator testen kann, habe ich mehr als einen Tag damit verplempert.
    • Um 2016–17 herum habe ich mitmproxy und mitmdump wirklich intensiv genutzt. Es war mächtig und leicht zu skripten, daher für meine Zwecke viel besser als Charles.
    • Früher reichte mir mitmproxy völlig, wenn ich Browser-Erweiterungen oder mobile Apps reverse engineeren wollte.
    • Ich mag mitmproxy, weil man es direkt auf einem Server laufen lassen kann. Wenn ich auf meinem Handy ein vertrauenswürdiges Zertifikat installiere und den Traffic über WireGuard verbinde, kann ich den gesamten Traffic im Web sehen.
      Heutzutage blockieren viele Apps das wegen certificate pinning, aber dann löse ich das mit Frida.
    • Burp gibt es auch in einer kostenlosen Version, der Community Edition.
      Burp-Download-Link

  • Burp Suite bietet ähnliche Funktionen, ist aber anders ausgerichtet.
    Charles ist auf Beobachtung und Debugging von HTTP(S)-Traffic fokussiert und deshalb gut, um Probleme schnell zu erkennen.
    Burp dagegen ist stärker auf Sicherheit ausgerichtet und auf Intercept, Replay, Automatisierung und Analyse der Angriffsfläche spezialisiert.
    Deshalb nutze ich Charles, wenn ich einfach Sichtbarkeit brauche, und Burp, wenn Sicherheitsanalyse das Ziel ist.

    • Caido ist ebenfalls eine interessante Alternative. Es ist noch relativ neu, wächst aber schnell, und viele Funktionen von Burp scheinen in letzter Zeit praktisch von Caido inspiriert zu sein.
    • Für meinen Anwendungsfall reicht Burp allein völlig aus. Auch die Community Edition funktioniert ziemlich gut.
    • Eine weitere Alternative ist ZAP (Zed Attack Proxy). Das ist komplett kostenlos und Open Source.

  • Ich brauchte nie komplexe Funktionen und habe deshalb lange Charles genutzt, bin aber vor ein paar Jahren zu Proxyman gewechselt und finde es deutlich angenehmer zu benutzen.

    • Proxyman ist etwas teurer, aber es ist den Preis hundertfach wert. Native UI, Shortcuts, Zertifikat-Installationshilfe und vor allem der Script-Editor sind viel stärker als bei Charles.
    • Ich habe Charles auch über 10 Jahre lang verwendet, aber für macOS-Nutzer fühlt sich Proxyman viel natürlicher und bequemer an.
    • In meinem früheren Job stand Charles nicht auf der Liste freigegebener Software, deshalb habe ich Requestly benutzt. Später habe ich Charles noch einmal ausprobiert, bin am Ende aber zu Requestly zurückgekehrt, weil es einfacher war.
    • Funktional ist Charles fast perfekt, aber mit etwas UI-Verbesserung wäre es ein vollständiges Tool.
      Die Menüstruktur ist kompliziert, und bei DNS-bezogenen Funktionen fehlt etwas. Ich habe auch Proxyman ausprobiert, aber es fühlte sich für mich nicht wirklich besser an, deshalb habe ich keine zusätzliche Lizenz gekauft.
    • Ich benutze beide Tools parallel. Proxyman hat keine Funktion für Session-Gruppierung, deshalb kann ich Charles nicht vollständig aufgeben.
      Vielen Dank an beide Entwickler.

  • Ich habe mich gefragt, warum das jetzt auf der Hacker-News-Startseite ist. Ich dachte, es sei bereits ein bekanntes Tool.

    • Manche hatten noch nie davon gehört und fanden es deshalb schön, dass es vorgestellt wurde.
    • Ich bin auch verwirrt. Es gab zuletzt keine Updates, daher weiß ich nicht, warum es wieder Aufmerksamkeit bekommt.

  • Für einfache Zwecke nutze ich die kostenlose Version von HTTP Toolkit.
    Es startet ein eigenes Firefox-Fenster und fängt dort den Traffic ab, sodass ich die Einstellungen meines Arbeitsbrowsers nicht anfassen muss, was praktisch ist.

  • Als ich 2011 mit der iOS-Entwicklung angefangen habe, war Charles für HTTP-API-Debugging unverzichtbar.
    Es freut mich zu sehen, dass es immer noch kontinuierlich gepflegt wird.

  • Ich habe Charles Proxy letztes Jahr zum ersten Mal benutzt und fand es wirklich großartig.
    Es gibt auch eine Mobile-App-Version, die man nutzen kann, wenn man einen SSL-Proxy für mobile Apps braucht.

  • Ich halte es immer noch für eine der besten Softwares überhaupt.
    Inzwischen nutze ich Proxyman.

    • Ich bin ebenfalls von Charles zu Proxyman gewechselt. Remote-Debugging ist dort auch möglich, sodass man ein iPhone per Kabel anschließen und direkt nachsehen kann.

  • Ich bin eigentlich Burp-Nutzer, aber aktuell bekommt Caido viel Aufmerksamkeit.
    Es ist leichtgewichtig und kann im Headless-Modus laufen. Es ist zwar weiterhin sicherheitsorientiert, wurde aber so entworfen, dass auf einem VPS oder in Containern der gesamte Traffic darüber geproxyt werden kann.

    • Ich bin Mitgründer von Caido. Danke für die Erwähnung — wir erweitern das Produkt inzwischen auch in den DevSecOps-Bereich.