Https e proxy
Marco Bisetto
biso@0xa0.com
Gio 17 Mar 2005 00:07:51 CET
>> Ultimamente diversi siti, ma non tutti, in https non sono
>> raggiungibili "access denied" se passo dal proxy. E poi che senso
>> ha usare un proxy se tutto è criptato. Boh!
>
>
>Il proxy ha anche altri usi: autenticazione utenti, controllo siti
>visitati, caching locale delle pagine, controllo dei contenuti delle
>pagine, download selettivi, ecc.
Presumo che Oriano intendesse come funzione prevalente del proxy la
riduzione del flusso di dati sulla connessione a Internet, grazie al
caching locale. Nel caso di https pero` non ha senso tenere una copia
dei dati in transito, perche' ogni singola connessione genera dati
diversi, anche se le pagine visitate sono le stesse. Inoltre, una
qualsiasi implementazione di https che permettesse al proxy di capire
quali pagine vengono visitate, dovrebbe essere considerata una grave
falla del protocollo stesso. Non e` quindi possibile accelerare il web
se la connessione avviene tramite https, tuttavia rimangono valide le
funzioni di autenticazione utente, per far superare selettivamente
eventuali firewall locali, e uno spartano controllo dei siti visitati,
tramite l'indirizzo IP della connessione TCP (quest'ultima una
limitazione intrinseca della sicurezza di https).
Non abbiamo pero` risolto il suo dilemma: Perche' qualche volta https
non funziona passando attraverso il proxy? Con una ricerca su google
sono arrivato alla FAQ di squid
http://www.squid-cache.org/Doc/FAQ/FAQ-11.html
Mi sembra di aver individuato un paio di punti che mostrano
particolari problemi di https, cattive implementazioni del protocollo
per lo piu`, che espongono in chiaro informazioni che dovrebbero
essere ben celate all'interno del tunnel crittato. Forse i problemi
riscontrati da Oriano sono dovuti a una combinazione di browser e
webserver remoto, che richiedono al proxy delle funzionalita` non
presenti (e, se ho intuito giusto, sconsigliabili).
Penso che questo sia un caso che si risolve con tcpdump, e
confrontando i risultati con le RFC.
Ciao!
Marco Bisetto
Maggiori informazioni sulla lista
blug