Ottenere le credenziali usando il server proxy

Se l'URL utilizza SSL (vale a dire https:// ) e utilizza il proxy solo per il trasporto, quindi no, il proxy vede solo i dati crittografati e non può visualizzarli. (A meno che il proxy non cerchi di fornirti un certificato forgiato, che richiede l'installazione preventiva di una CA collaborativa nel tuo computer, questo può accadere negli ambienti di lavoro, quando il tuo nemico è il sysadmin locale.)

Se la connessione, quando esce dalla macchina, non è protetta, allora sì, per definizione il proxy vede ogni byte che va e viene. Questo è vero per tutte le tecnologie proxy.

La situazione può essere resa più complessa se il proxy richiede un'autenticazione e / o se il proxy negozia alcuni SSL tra sé e il server di destinazione. Per i tecnologicamente incauti, può diventare un po 'difficile sapere dove va effettivamente la password che digiti. Se:

• il browser e il computer locale sono puliti (non è stato toccato da un amministratore di sistema o malware potenzialmente ostile);
• il tuo browser dice "che è SSL" con l'icona del famoso lucchetto (in);
• il nome del server nella barra degli URL è effettivamente quello che ti aspetti (è esattamente www.facebook.com , e non qualcosa come www.facebook.com.sdjygsdb.com );
• il tuo browser non vede nulla di sbagliato con il certificato del server (nessun avviso spaventoso, la barra degli URL diventa rossa o qualcosa del genere);

Quindi:

• ciò che invii al server è al sicuro da sguardi indiscreti di entità esterne, inclusi i proxy.

In caso contrario:

• tutto va bene. I tuoi dati vengono trasferiti almeno in modo non sicuro e i proxy sono in condizioni ideali per interferire con essi.

Dipende.

Esistono due tipi principali di proxy: HTTP e SOCKS.

Un proxy HTTP può, come suggerisce il nome, occuparsi solo del traffico HTTP. Tu invii una richiesta e la inoltra alla pagina di destinazione, e invia di nuovo il risultato a te. Tutto questo traffico viene inviato in testo normale, quindi è possibile annusarlo e alterarlo. È tuttavia possibile eseguire un CONNECT HTTP su alcuni di questi proxy, che trasforma il traffico HTTP in un tunnel TCP. Da lì, SSL può essere utilizzato su quel tunnel, consentendo la protezione contro la maggior parte dei tipi di attacchi di sniffing. Un altro tipo di proxy HTTP chiamato proxy HTTPS funziona in modo identico, tranne che per l'intero protocollo su HTTPS.

Dall'altro lato c'è SOCKS, che agisce come nient'altro che un tunnel. Un messaggio viene inviato al proxy per creare una connessione a un server di destinazione e il proxy inoltra quindi tutto tra te e il server. Esistono attualmente tre versioni principali di SOCKS: SOCKS4, SOCKS4a e SOCKS5. Le specifiche SOCKS4a hanno aggiunto la possibilità di passare un nome di dominio come parametro di destinazione, anziché un indirizzo IP, in modo tale che il proxy esegua la ricerca DNS anziché il client. Ciò ha aiutato a risolvere i problemi in cui il client non era in grado di eseguire una ricerca DNS stessa e inoltre ha contribuito a migliorare la privacy, poiché in precedenza era possibile sniffare il traffico di ricerca DNS dal client e identificare i siti che stava visitando. SOCKS5 ha ulteriormente esteso il protocollo includendo il supporto IPv6 e UDP, oltre a una migliore autenticazione. Tuttavia, il traffico SOCKS effettivo è in chiaro e il client deve fornire la propria sicurezza di trasporto all'interno della connessione con tunnelling.

In generale, dovresti considerare l'utilizzo di un proxy come al massimo sicuro quanto l'invio del traffico da solo. Continuerai a inviare informazioni in chiaro al proxy (a meno che non si tratti di un proxy HTTPS) e che possa essere sniffato. Una volta creato il tunnel, il traffico può ancora essere annusato a meno che tu non stia parlando con il server di destinazione tramite HTTPS o un protocollo sicuro simile.

Un caso interessante si verifica quando l'operatore del proxy è malevolo. Qualsiasi traffico di testo in chiaro può essere annusato e rubato a prescindere, ma un proxy maligno può eseguire attacchi attivi. Ad esempio, potrebbe iniettare contenuto nel traffico o reindirizzare l'utente ad altri server. Se si utilizza HTTPS, la privacy e la sicurezza aumentano, ma è possibile che l'attaccante esegua il "downgrade" o ignori l'SSL interferendo con l'handshake SSL. Potrebbe persino restituire un certificato falsificato e dichiarare di essere il server di destinazione, mentre decifrare segretamente tutto il tuo traffico.

Per dirla in modo molto semplice: i proxy possono essere pericolosi, e dovresti usare solo proxy di cui ti fidi.

Ci sono due casi principali: se ti connetti a http://facebook.com , o se ti connetti a https://facebook.com ( HTTP vs HTTPS ). A proposito, Facebook ti reindirizza automaticamente a HTTPS.

Con HTTP, tutte le comunicazioni sono in chiaro. Chiunque controlli un po 'dell'infrastruttura Internet tra te e il server può intercettare le comunicazioni e ottenere le tue credenziali. Non importa se hai specificato un proxy o meno: un proxy può essere trasparente , e anche se non c'è proxy, qualcuno potrebbe ancora ascoltare.

In pratica, gli ISP non spiano i loro clienti. I datori di lavoro a volte spiano i propri dipendenti. Inoltre, se utilizzi una connessione Wi-Fi, gli altri utenti WiFi locali potrebbero essere in grado di spiarti .

A proposito, le tue credenziali non sono solo nome utente e password. Una volta stabilita la connessione, la sessione viene identificata da un cookie; se l'attaccante ottiene il tuo cookie, può passare per te (almeno fino a quando non chiudi la connessione).

Con HTTPS, la risposta di base è no, le tue credenziali sono sicure e la tua connessione è sicura. Puoi sapere che la tua connessione è sicura se tutte queste condizioni sono soddisfatte:

• Il browser mostra un'icona a forma di lucchetto verde accanto all'URL (o qualsiasi altra cosa utilizzi per indicare una buona connessione HTTPS). (Questo mostra che stai usando HTTPS, ma non è sufficiente.)
• L'URL inizia con facebook.com/ o qualsiasi sito a cui ti stai connettendo (se vedi qualcosa di diverso come facebook.com.evilhackers.com/… , sei connesso in modo sicuro al sito sbagliato).
• Il tuo computer è privo di malware.
• Il tuo browser non è stato configurato per accettare un'autorità di certificazione non standard.

L'ultimo punto è pertinente sui computer emessi dalla società: alcuni datori di lavoro installano la propria autorità di certificazione, in modo che il browser accetti qualsiasi connessione come autentica se effettuata con il proxy aziendale. A seconda del paese in cui vivi, questo può o non può essere legale e potrebbe o non potrebbe essere richiesto di informarti (in caratteri piccoli nel criterio IT di 100 pagine).

Supponendo che HTTPS sia usato in modo sicuro, un proxy può solo inoltrare i byte crittografati avanti e indietro. Conosce il sito a cui ti stai connettendo (deve sapere dove inviare i pacchetti), ma non può conoscere gli URL completi a cui stai accedendo, il contenuto delle pagine o i dati che stai inviando nei moduli.

Questo è molto possibile quando si utilizzano siti Web non crittografati, ma molto più difficile con SSL.

Con SSL, sarebbe possibile per un attacco Man In The Middle (MITM) rivelare quei dati. Ciò richiederebbe al proxy di negoziare il certificato con il sito Web e quindi negoziarlo con il proprio browser, quindi i dati in crittografia tra te e il proxy, decrittografati e quindi reencrittati per essere inviati a Facebook.

Assicurati che quando ricevi un errore di certificato da un sito SSL, non aggiungi automaticamente un'eccezione senza sapere da dove proviene.

È possibile usando ssl stripper e altri strumenti di sniffing. Ho testato questo caso nella mia rete usando alcuni strumenti di ssl stripping. Ho password e nomi utente facilmente accessibili. Usiamo il server squid. Facebook e Gmail stanno usando con https ma l'ho capito. Quindi la sicurezza è una semplice barzelletta. Possiamo dare la massima protezione ma non è meno importante.

Aggiunta alle altre risposte

1. Se la rete che stai utilizzando ha un proxy HTTPS, è difficile acquisire le tue credenziali sulla rete (a meno che qualcuno non tenti un MITM su SSL) ma un possibile punto di attacco sarebbe il DNS.
2. Se ti affidi al tuo server proxy per fare le risoluzioni dei nomi per te allora è possibile che l'amministratore del proxy ti reindirizzi a un sito Web dannoso (phishing) che assomiglia esattamente a quello originale. Lì si inseriscono le credenziali e si collegano a un server malevolo (potrebbe essere ospitato nella propria rete).