सवाल क्या मेरा एंटरप्राइज़ प्रॉक्सी किसी https अनुरोध की सामग्री को जान सकता है?


उदाहरण के लिए मेरे बैंक खाते में लॉगिन करें या जानना कि मैं HTTP के माध्यम से कौन सी जानकारी जमा करता हूं?

मुझे यकीन नहीं है कि हमारे पास प्रॉक्सी सर्वर क्या है।


6
2017-08-27 00:36


मूल


नोट: सुपर-ऑन-सुपरसुर टैग को हटाने के लिए वापस लुढ़का। एसएफ के लिए यह एक उचित सवाल है। - squillman
मुझे लगता है कि इसका एक अंतिम उपयोगकर्ता प्रश्न है - Nick Kavadias
@ निक: हाँ, अंत उपयोगकर्ता sysadmins से पूछना;) - OscarRyz
यह या तो पूछा जा सकता है, लेकिन एसएफ के लिए उपयुक्त है। प्रॉक्सी आमतौर पर एक सिसडमिन स्तर विषय होते हैं और यह प्रश्न sysadmins से अच्छे उत्तरों को प्राप्त करेगा (जैसा कि पहले से ही प्रमाणित किया गया है)। - squillman


जवाब:


पूर्ण रूप से। कई एंटरप्राइज़-स्तरीय प्रॉक्सी आपके ब्राउज़र को कॉर्पोरेट प्रमाणन प्राधिकरण का उपयोग करके कनेक्शन को दोबारा एन्क्रिप्ट करने का समर्थन करते हैं। अनिवार्य रूप से प्रशासन टीम समूह नीतियों के माध्यम से आपके वर्कस्टेशन में प्रमाण पत्र निकाल सकती है, और इसे विश्वसनीय अधिकारियों की सूची में जोड़ सकती है। प्रॉक्सी के पास उस प्रमाणपत्र से संबंधित निजी कुंजी है और फ्लाई पर प्रत्येक होस्टनाम के लिए प्रमाण पत्र उत्पन्न करता है। फिर जब आपका ब्राउज़र प्रॉक्सी से कनेक्ट होता है तो गंतव्य से कनेक्ट करने के लिए HTTPS का उपयोग करता है, लेकिन फिर उपर्युक्त प्रमाणपत्र और निजी कुंजी का उपयोग करके वास्तविक ब्राउज़र को आपके ब्राउज़र पर एन्क्रिप्ट करता है।

इस अवरोध में सक्षम ओपन सोर्स और फ्री प्रॉक्सी भी हैं (जो केवल एक एमआईटीएम हमला है जो प्रशासकों द्वारा प्रत्येक वर्कस्टेशन पर विश्वसनीय प्रमाणपत्र सूची तक पहुंचने के लिए आसान बनाता है)।

संपादित करें: आप यह जांच कर सकते हैं कि प्रत्येक HTTPS साइट के लिए प्रमाण पत्र किसने हस्ताक्षर किया है, लेकिन नाम मौजूदा प्रमाणपत्रों से भी मेल खा सकता है ताकि आपको फिंगरप्रिंट की तुलना प्रत्येक प्रमाणपत्र प्राधिकरण के ज्ञात अच्छे से की जानी पड़े।


11
2017-08-27 00:46



सटीकता के लिए +1। यह संभव है। सिम्फोनिक्स नेटवर्क संगीतकार यह करता है। cymphonix.com - Josh Brower
यह प्रॉक्सी नहीं है - यह बस बुरा है। - Evan Anderson
कई मामलों में आपको अनुपालन उद्देश्यों के लिए ऐसा करने की आवश्यकता है। मैंने सफलतापूर्वक हमारे सुरक्षा लोगों के साथ इस अभ्यास के खिलाफ लड़ाई लड़ी, और केवल इसलिए जीता क्योंकि उनका तर्क मैलवेयर सुरक्षा पर आधारित था। - duffbeer703
सटीकता के लिए +1 भी, हालांकि मैं अभी भी इवान के पीछे खड़ा हूं ... - squillman
चूंकि एसएसएल परिधि रक्षा के माध्यम से एक बड़ा अंतर छेद है, इसके माध्यम से वास्तविक ट्रैफिक को ब्रिजिंग और निरीक्षण करना निश्चित रूप से एक सुरक्षा मामला है I^ ^^ इस दृष्टिकोण के साथ आउटबाउंड एसएसएल (सामग्री जो आप सेवा करते हैं) का निरीक्षण करना अधिक आम मामला होगा। - Oskar Duveborn


आम तौर पर नहीं (नीचे मेरा संपादन देखें)। एचटीटीपीएस एन्क्रिप्टेड एंड-टू-एंड है - इसलिए आपका पीसी स्वयं एन्क्रिप्शन और डिक्रिप्शन कर रहा है, जैसा कि दूसरी तरफ सर्वर कंप्यूटर है। तार पर मौजूद सब कुछ एन्क्रिप्ट किया गया है, इसलिए प्रॉक्सी सर्वर कंप्यूटर केवल सिफरटेक्स्ट बह रहा है।

अब, उस keylogger के साथ कि आईटी विभाग आपके पीसी पर स्थापित ...> मुस्कुराओ <

गंभीरता से, हालांकि, अगर कोई अन्य व्यक्ति उस मशीन को प्रशासित करता है जिसका उपयोग आप संवेदनशील वेब साइटों तक पहुंचने के लिए कर रहे हैं, तो आपके पास पीसी पर सॉफ़्टवेयर या हार्डवेयर स्थापित हो सकता है। मुझे नहीं पता कि आप अपने नियोक्ता पर कितना भरोसा करते हैं, लेकिन मैं संवेदनशील वेब साइटों तक पहुंच नहीं पा रहा हूं जैसे कंप्यूटरों से बैंकिंग और / या दूसरों के स्वामित्व वाले।

संपादित करें:

जी - मेरी इच्छा है कि मैं आगे बढ़ जाऊंगा और उस अनुच्छेद को टाइप करूँगा कि मैं फिर से जोड़ने के बारे में सोच रहा था: एक प्रॉक्सी जो एक स्वचालित मैन-इन-द-बीच हमले करता है, 'cuz मुझे लगता है कि वहां वास्तव में छायादार उत्पाद हैं जो कर सकते हैं वो करें! पागलपन।

जाहिर है वहाँ कर रहे हैं वे डिवाइस जो एसएसएल के खिलाफ स्वचालित मैन-इन-द-बीच हमलों को निष्पादित कर सकते हैं। उन्हें "पीड़ित" क्लाइंट कंप्यूटर पर स्थापित करने के लिए एक सीए प्रमाणपत्र की आवश्यकता होती है क्योंकि प्रॉक्सी परिभाषा के अनुसार, प्रत्येक HTTPS साइट के लिए नकली प्रमाणपत्रों को खनन कर सकती है, जिससे संचार को अवरुद्ध करने की कोशिश की जाती है।

मैं उपरोक्त मेरे कथन से खड़ा रहूंगा: उन कंप्यूटर्स से संवेदनशील वेब साइटों तक न पहुंचें जिन्हें आप प्रशासित नहीं करते हैं। उन बुरे "मैन-इन-द-बीच" प्रॉक्सी सर्वरों में से एक के मामले में जो ल्यूक ने अपनी पोस्ट में उल्लेख किया था, आपके व्यक्तिगत कंप्यूटर में प्रॉक्सी सर्वर के सीए के लिए आवश्यक प्रमाणपत्र प्रमाणपत्र प्रमाण पत्र नहीं होगा, और इस प्रकार आप अपने ब्राउज़र में एक चेतावनी प्राप्त करें कि वेब साइट पर एक अज्ञात सीए से जारी प्रमाणपत्र था।

ऐसे उत्पाद का विचार मुझे मेरे मुंह में एक बुरा स्वाद देता है। इस तरह के डिवाइस में एकमात्र उपयोगिता मैं देख सकता हूं उपयोगकर्ताओं पर जासूसी कर रहा है।


0
2017-08-27 00:37



और इवान के बिंदु में जोड़ने के लिए, क्योंकि प्रॉक्सी इसे पढ़ नहीं सकता है इसलिए यह इसे लॉग भी नहीं कर सकता है। मुझे गलत मत समझो, आपको लॉग प्रविष्टियां मिलेंगी, लेकिन आपको केवल कुछ ही मिल जाएगा जैसे कि CONNECT remotesite.com 443. आपको पूर्ण यूआरएल पथ जानकारी भी नहीं मिलेगी (कम से कम कुछ प्रॉक्सी से, सभी के बारे में निश्चित नहीं है लेकिन मैं संदिग्ध तो)। ऐसा इसलिए है क्योंकि HTTP शीर्षलेख SSL सिफरटेक्स्ट में एन्क्रिप्ट किए गए हैं। - squillman
इस प्रकार के प्रॉक्सीइंग के लिए गैर-बुरे अनुप्रयोग हैं: नेटवर्क सुरक्षा निगरानी (taosecurity.blogspot.com/2008/05/...) - Josh Brower
मैं यह कहता हूं कि यह बुराई होने के नाते ऐसा कुछ भी कर रहा है। मेरा +1 यहाँ रहता है। - squillman
आपका +1 यहाँ बनी हुई है? मुझे लगता है कि एसएसएल-इंटरसेप्टिंग प्रॉक्सी का भी उपयोग करना बहुत बुरा है, लेकिन मेरा जवाब निश्चित रूप से अधिक सटीक था। - Luke
@ ल्यूक: हां, इवान ने संपादित किया ताकि यह तकनीकी रूप से अधिक सटीक हो। मैंने आपको एक +1 भी दिया ... शीश। - squillman