AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Proxy: Erzwingen von HTTPS

Ein Thema von Benedikt Magnus · begonnen am 11. Okt 2016 · letzter Beitrag vom 11. Okt 2016
Antwort Antwort
Benedikt Magnus

Registriert seit: 6. Jul 2012
Ort: Bonn
190 Beiträge
 
FreePascal / Lazarus
 
#1

AW: Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 17:40
Lass das bleiben, das funktioniert nicht.

Zum einen gibt es diverse browserbasierte Sicherheitsmechanismen, die HTTPS im Browser voraussetzten (HSTS, Secure Cookies). Dann hast du HTTPS-Direktlinks, die in deinem Setup nicht mehr funktionieren würden. Außerdem führst du das Ende-zu-Ende Prinzip damit ad-absurdum. Und es gibt bestimmt noch vieles mehr, je länger man darüber nachdenkt.
An Secure Cookies hatte ich nicht gedacht, aber die HTTPS-Direktlinks ließen sich durch den Proxy oder zumindest durch ein Browserplugin zu HTTP ändern lassen.
Das Ende-zu-Ende-Prinzip möchte ich ja gerade ein wenig angreifen, da ich die Kommunikation im lokalen Netz als sicher ansehen kann und so die Möglichkeit der zentralen Zwischenspeicherung erhalte.

Ich würde bei SSL auf die Speicherung verzichten und einfach den CONNECT am Squid erlauben.
Sonst müsstest Du die SSL-Verbindung aufbrechen. (Wogegen m.E. nicht nur datenschutzrechtliche Gründe sprechen, sondern auch Sicherheitslöcher öffnet)
So ist es bisher eingestellt. Ich suche nur derzeit nach einer Möglichkeit (ja, eventuell bleibt diese Suche erfolglos), mit der ich ohne Man in the Middle zwischenspeichern kann.

Anbei:
Ich habe soweit vollkommene Kontrolle über den Proxy und die Clients, kann also entsprechend verfahren.
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#2

AW: Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 19:18
Das Ende-zu-Ende-Prinzip möchte ich ja gerade ein wenig angreifen, da ich die Kommunikation im lokalen Netz als sicher ansehen kann und so die Möglichkeit der zentralen Zwischenspeicherung erhalte.
Finde ich nicht gut, aber das ist deine Entscheidung.

Ich habe soweit vollkommene Kontrolle über den Proxy und die Clients, kann also entsprechend verfahren.
Wenn es unbedingt sein muss, erstell eine eigene CA und roll diese in die Clients aus. Wie das dann mit EV Zertifikaten ist weiß ich aber nicht.

Anleitungen scheint man über Bei Google suchensquid https gut zu finden.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:31 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz