Charles Proxy

 (charlesproxy.com)
2 pontos por GN⁺ 2025-12-21 | 1 comentários | Compartilhar no WhatsApp
  • Ferramenta de proxy de depuração web para analisar visualmente o tráfego HTTP e HTTPS, permitindo verificar solicitações, respostas e informações de cabeçalho
  • Integra recursos de Reverse Proxy, SSL Proxy e HTTP Monitor, permitindo que desenvolvedores rastreiem a comunicação de rede em detalhes
  • A versão mais recente, Charles 5.0.3, corrige problemas de desempenho no macOS e inclui pequenas melhorias
  • Melhorias de UI, suporte a modo escuro e ganhos de desempenho vêm sendo adicionados continuamente desde a fase beta da série 5.x
  • Ferramenta clássica de depuração web atualizada de forma consistente desde meados dos anos 2000, amplamente usada também em ambientes de desenvolvimento mobile, Flash e iOS

Visão geral

  • Charles é um proxy de depuração web que permite aos desenvolvedores ver todo o tráfego HTTP e SSL/HTTPS entre seu computador e a internet
    • Exibe solicitações (request), respostas (response) e cabeçalhos HTTP, incluindo informações de cookies e cache
    • Oferece de forma integrada os recursos de HTTP Proxy, HTTPS Proxy, Reverse Proxy e HTTP Monitor

Desenvolvimentos recentes

  • 20 de setembro de 2025: lançamento do Charles 5.0.3, com correção de problemas de desempenho no macOS e pequenas melhorias
  • 9 de agosto de 2025: lançamento da versão 5.0.2, com correções de bugs e pequenas melhorias
  • 12 de março de 2025: lançamento oficial do Charles 5
  • 24 de janeiro de 2024: beta 13 da série 5 publicada, com melhorias na UI do Windows e suporte a modo escuro
  • Julho a abril de 2023: nas versões beta 9 a 11, houve melhorias de UI e desempenho, novos recursos e correções de bugs
  • Setembro de 2022: lançamento da versão 4.6.3, com atualização para Java 11 e correções de bugs
  • Dezembro de 2021: aviso relacionado à vulnerabilidade do log4j2 — Charles não usa log4j e, portanto, não foi afetado
  • 2019 a 2020: nas versões 4.5 a 4.6, houve suporte a Dark Mode, melhorias no certificado SSL e correções de vulnerabilidades de segurança
  • Maio de 2018: lançamento do Charles para iOS
  • 2016: lançamento do Charles 4 com suporte adicional a HTTP/2 e IPv6
  • 2006 a 2009: adição de suporte a AMF, SOAP e JSON, além de grandes melhorias na UI
  • 2005: introdução da configuração automática de proxy para Firefox e do recurso de análise de Flash Remoting
  • 2003 a 2004: consolidação de recursos centrais como SSL, Reverse Proxy e SOCKS Proxy

Principais recursos

  • Monitoramento de tráfego HTTP/HTTPS: visualização em tempo real de solicitações, respostas, cabeçalhos, cookies e informações de cache
  • SSL Proxy e Reverse Proxy: suporte para analisar comunicação criptografada e rastrear respostas do servidor
  • Ferramentas de análise com interface gráfica: comparação de request/response, filtragem de tráfego e salvamento de sessões
  • Suporte a várias plataformas: funciona em macOS, Windows, iOS e outros
  • Melhorias de desempenho e estabilidade: correções contínuas de bugs e atualizações de assinatura de código

Reviews externos e casos de uso

  • Andrew Bardallis: apresentou como usar o Charles com dispositivos móveis para observar e modificar tráfego
  • Tobias Sjösten: descreveu casos de monitoramento e depuração com Charles
  • Dan Grigsby: usou Charles para analisar dados XML da App Store do iPhone
  • Gary Rogers: utilizou Charles para depurar conexões HTTP no iPhone
  • MadeByPi, Frankie Loscavio, Darren Richardson, uberGeek e outros destacam a eficiência da depuração em ambientes de desenvolvimento Flash e Flex

Avaliação geral

  • Com atualizações contínuas por mais de 20 anos, consolidou-se como uma ferramenta essencial de análise de rede para desenvolvedores web e mobile
  • Com suporte a diversos protocolos e uma UI intuitiva, aumenta a eficiência da depuração, enquanto melhorias em segurança, desempenho e compatibilidade continuam de forma constante

Leituras relacionadas

1 comentários

 
GN⁺ 2025-12-21
Opiniões do Hacker News

  • Queria muito mencionar o Fiddler, que eu realmente adorava no passado
    Quando usei pela primeira vez, quase 20 anos atrás, parecia uma ferramenta vinda do futuro. Pelo que me lembro, na época era mais poderoso que o Charles
    Originalmente era só para Windows, mas builds para outras plataformas já estavam em preparação. Depois ele foi adquirido, o roadmap mudou, e eu também deixei o Windows
    Site oficial do Fiddler

    • Concordo totalmente. Volta e meia comento sobre as lembranças dessa ferramenta incrível
      Fico curioso se você chegou a encontrar alguma alternativa para macOS. Até hoje eu não achei nada realmente à altura

  • Era uma ferramenta meio joia escondida
    A alternativa gratuita mais próxima é o mitmproxy, mas, sinceramente, não chega no mesmo nível
    Claro, também existe o Wireshark, mas ele é genérico demais e tem uma curva de aprendizado alta
    Antigamente dava para usar sem assinatura, e valia facilmente o que custava

    • No verão, tentei fazer um clone do Charles Proxy. Montei uma estrutura com iOS VPN → mitm → certificado raiz customizado → logging
      Usei o gomitmproxy para lidar com sniffing e recriptografia do tráfego
      Eu tinha subido o código aqui, mas o servidor git quebrou e não consegui recuperar
      Fico curioso para saber se, hoje em dia, IA conseguiria transformar meu código meio improvisado em um clone completo do Charles
      Só é irritante que a Apple exija uma conta de desenvolvedor paga para acesso à Packet Tunnel API. Nem no simulador dava para testar, então perdi mais de um dia penando com isso
    • Lá por 2016~17, usei muito bem o mitmproxy e o mitmdump. Era poderoso e fácil de automatizar com scripts, então para o meu caso era muito melhor que o Charles
    • Antigamente, quando eu fazia engenharia reversa de extensões de navegador ou apps mobile, o mitmproxy já resolvia tudo para mim
    • O que eu gosto no mitmproxy é que dá para rodar direto no servidor, instalar um certificado confiável no meu celular e encaminhar o tráfego por WireGuard, aí consigo ver todo o tráfego pela web
      Hoje em dia muitos apps são bloqueados por certificate pinning, mas nesses casos resolvo com Frida
    • O Burp também tem versão gratuita (Community Edition)
      Link para baixar o Burp

  • O Burp Suite também faz algo parecido, mas a proposta é diferente
    O Charles é focado em observação e depuração de tráfego HTTP(S), então é ótimo para entender problemas rapidamente
    Já o Burp é voltado para segurança, especializado em interceptação, reenvio, automação e análise da superfície de ataque
    Então, quando eu só preciso de visibilidade simples, uso Charles; quando o objetivo é análise de segurança, uso Burp

    • O Caido também vale como alternativa. É mais novo, mas está crescendo rápido, e recentemente vários recursos do Burp parecem ter sido inspirados pelo Caido
    • No meu caso de uso, só o Burp já basta. A versão comunitária também funciona muito bem
    • Outra alternativa é o ZAP (Zed Attack Proxy). É totalmente gratuito e open source

  • Eu não precisava de recursos complexos, então usei Charles por muito tempo, mas há alguns anos mudei para o Proxyman e acho muito mais prático de usar

    • O Proxyman custa um pouco mais caro, mas entrega umas 100 vezes mais valor. A UI nativa, os atalhos, o assistente de instalação de certificado e o editor de scripts são muito mais fortes que os do Charles
    • Eu também usei Charles por mais de 10 anos, mas para quem usa macOS, o Proxyman é muito mais natural e conveniente
    • No meu emprego anterior, o Charles não estava na lista de softwares aprovados, então usei o Requestly. Depois tentei voltar para o Charles, mas no fim acabei ficando com o Requestly por ser mais simples
    • O Charles é quase perfeito em termos de funcionalidade, mas com só mais um pouco de melhoria na UI viraria uma ferramenta perfeita
      A estrutura dos menus é complicada e faltam recursos ligados a DNS. Também usei o Proxyman, mas na prática não achei melhor, então não comprei outra licença
    • Uso as duas ferramentas em paralelo. O Proxyman não tem recurso de agrupamento de sessões, então é difícil abandonar completamente o Charles
      Agradeço aos dois desenvolvedores

  • Fiquei surpreso de ver isso agora na capa do Hacker News. Já achava que era uma ferramenta bem conhecida

    • Teve gente dizendo que nunca tinha ouvido falar, então ficou feliz de ver a apresentação
    • Eu também estou confuso. Não houve atualização recente, então não entendo por que voltou a chamar atenção

  • Para uso simples, estou usando a versão gratuita do HTTP Toolkit
    Ele abre sua própria janela do Firefox e intercepta o tráfego, então é prático porque não preciso mexer na configuração do navegador de trabalho

  • Quando comecei com desenvolvimento iOS em 2011, o Charles era essencial para depuração de APIs HTTP
    É legal ver que ele continua sendo mantido de forma consistente

  • Usei Charles Proxy pela primeira vez no ano passado e achei excelente
    Também existe uma versão do app para mobile para usar quando você precisa de um proxy SSL para apps móveis

  • Ainda acho que é um dos melhores softwares que existem
    Hoje em dia estou usando o Proxyman

    • Eu também migrei do Charles para o Proxyman. Ele também permite depuração remota, então dá para conectar o iPhone por cabo e conferir tudo direto

  • Eu sou usuário do Burp, mas hoje em dia o Caido está ganhando força
    É leve e pode rodar em modo headless. Continua sendo focado em segurança, mas foi projetado para fazer proxy de todo o tráfego em VPS ou contêineres

    • Sou cofundador do Caido. Obrigado pela menção, e agora também estamos expandindo para a área de DevSecOps