Re: https transparent proxy
On 30/11/2012 11:37, dea wrote:
> On Fri, 30 Nov 2012 11:14:08 +0100, Liga wrote
>> > ciao,
>> > ho uno squid 2.7 che fa da transparent proxy su http, ma molti siti
>> > (FB, google ecc) utilizzano https e non viene filtrata la navigazione
>> > (squidguard) se utilizzo iptables e ridirigo sul proxy -A PREROUTING
>> > -i eth0 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128 mi da
>> > errore: l'ssl sembra veda una sorta mitm. settando il proxy sui
>> > client funziona tutto.
>> >
>> > qualcuno ha trovato una soluzione?
> Per quello che ne so non è possibile per costruzione stessa del protocollo
> HTTPS (in generale SSL) mettere in mezzo un trasparent proxy.
>
> La ragione è un possibile attacco chiamato "proxy in the middle".
>
> Devi quindi specificarlo sul client (in tal caso non è più trasparente).
Ha ragione dea, non si può fare per definizione stessa del protocollo
SSL. Comunque, secondo me, i trasparent proxy sono una cattiva idea: a
parte l'SSL spesso quando c'è qualche problema farne la diagnostica è un
delirio. Molto meglio un bel proxy (con o senza autenticazione, in
quest'ultimo caso con Kerberos l'utente manco se ne accorge).
federico
--
Federico Di Gregorio federico.digregorio@dndg.it
Studio Associato Di Nunzio e Di Gregorio http://dndg.it
When people say things are a lot more complicated than that, they
means they're getting worried that they won't like the truth.
-- Granny Weatherwax
Reply to: