Https e proxy
Oriano Chiaradia
oriano@iol.it
Gio 17 Mar 2005 12:41:28 CET
Marco Bisetto wrote:
>>>Ultimamente diversi siti, ma non tutti, in https non sono
>>>raggiungibili "access denied" se passo dal proxy. E poi che senso
>>>ha usare un proxy se tutto č criptato. Boh!
>>
>>
>>Il proxy ha anche altri usi: autenticazione utenti, controllo siti
>>visitati, caching locale delle pagine, controllo dei contenuti delle
>>pagine, download selettivi, ecc.
>
>
>
> Presumo che Oriano intendesse come funzione prevalente del proxy la
> riduzione del flusso di dati sulla connessione a Internet, grazie al
> caching locale. Nel caso di https pero` non ha senso tenere una copia
> dei dati in transito, perche' ogni singola connessione genera dati
> diversi, anche se le pagine visitate sono le stesse. Inoltre, una
> qualsiasi implementazione di https che permettesse al proxy di capire
> quali pagine vengono visitate, dovrebbe essere considerata una grave
> falla del protocollo stesso. Non e` quindi possibile accelerare il web
> se la connessione avviene tramite https, tuttavia rimangono valide le
> funzioni di autenticazione utente, per far superare selettivamente
> eventuali firewall locali, e uno spartano controllo dei siti visitati,
> tramite l'indirizzo IP della connessione TCP (quest'ultima una
> limitazione intrinseca della sicurezza di https).
Esattamente
>
> Non abbiamo pero` risolto il suo dilemma: Perche' qualche volta https
> non funziona passando attraverso il proxy? Con una ricerca su google
> sono arrivato alla FAQ di squid
> http://www.squid-cache.org/Doc/FAQ/FAQ-11.html
>
> Mi sembra di aver individuato un paio di punti che mostrano
> particolari problemi di https, cattive implementazioni del protocollo
> per lo piu`, che espongono in chiaro informazioni che dovrebbero
> essere ben celate all'interno del tunnel crittato. Forse i problemi
> riscontrati da Oriano sono dovuti a una combinazione di browser e
> webserver remoto, che richiedono al proxy delle funzionalita` non
> presenti (e, se ho intuito giusto, sconsigliabili).
Ho studiato la faccenda.... e a prima vista credo che il problema sia
legato al modo con cui il sito richiede l'utenticazione.
Per quelli che presentano la pagina per il login, non ci sono problemi.
Per quelli che richiedono l'autenticazione tramite il pop-up, alcuni
funzionano altri no.
>
> Penso che questo sia un caso che si risolve con tcpdump, e
> confrontando i risultati con le RFC.
Alla prima occasione (notte libera :-) confronterņ le comunicazioni nei
vari casi per cercare di capire da dove arriva il bacco.
>
> Ciao!
>
> Marco Bisetto
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> blug mailing list
> blug@lists.linux.it
> http://lists.linux.it/listinfo/blug
Ciao e grazie a tutti
--
___________________________________________________________
/ Oriano Chiaradia | orianoATiol.it | GPG KeyID: 0x2E74A003
-------------- parte successiva --------------
Un allegato non testuale č stato rimosso....
Nome: signature.asc
Tipo: application/pgp-signature
Dimensione: 187 bytes
Descrizione: OpenPGP digital signature
Url: http://lists.linux.it/pipermail/blug/attachments/20050317/f525cbdb/signature.pgp
Maggiori informazioni sulla lista
blug