Diciamo per esempio che devo usare un proxy online pubblico come link caricare una pagina Web PHP controllata da me che contiene dati sensibili su HTTPS.
Come fare per assicurarmi che il proxy nel mezzo non abbia informazioni dettagliate sui dati senza modificare il client (browser), JavaScript e / o nomi di dominio e server aggiuntivi.
L'unico obiettivo della soluzione è impedire il livello di attacco del proxy pubblico (teorico).
Quando si utilizza un proxy re-webber (un sito Web in cui si immette un URL e viene visualizzato il contenuto di tale URL nel proprio contesto), l'utilizzo di TLS tra l'utente e il sito Web finale diventa impossibile , anche quando il proxy vorrebbe fornirlo.
Quando inserisci https://google.com nel proxy che hai collegato, verrai reindirizzato a https://www.zend2.com/vip3.php?u=RyhEPtB1SQ6bFRGMjVSDaC2jhw%3D%3D&b=29 . Tieni presente che il dominio a cui ti colleghi è https://www.zend2.com . Questo è il dominio con cui fai l'handshake TLS. Qualunque altra cosa porterebbe ad un avviso di certificato, perché il tuo browser si aspetta un certificato valido da www.zend2.com , non da google.com . Il proxy quindi fa il proprio handshake TLS con il sito di destinazione, richiede il contenuto, lo decrittografa, potrebbe guardarlo, re-encrpyts per te e lo invia a voi.
Potresti anche notare che questo servizio esegue un attacco man-in-the-middle proprio davanti ai tuoi occhi! Aggiunge il proprio codice HTML a ciascun sito web che carichi attraverso di esso, anche quando carichi attraverso HTTPS. Questo codice include Javascript, che viene eseguito nel contesto del sito Web che carichi. Potrebbero usare questo per tutti i tipi di attacchi XSS quando lo vorrebbero. Il sito web ha dimostrato che è possibile e manipolerà qualsiasi contenuto a cui si accede attraverso di esso, quindi non è necessario utilizzarlo per inviare o accedere a qualsiasi informazione riservata.
Per evitare ciò, non utilizzare un servizio rewebber. Utilizzare correttamente un server proxy inserendolo nelle impostazioni di connessione per il proprio browser web. In tal caso il browser Web è consapevole del fatto che sta utilizzando un server proxy e si aspetterà un certificato TLS dalla destinazione effettiva, non dal proxy. In tal caso, qualsiasi intercettazione o manipolazione da parte del proxy diventa impossibile.
Oltre ai possibili difetti con SSL, puoi assicurarti che il certificato appartenga al sito che stai visitando. Se SSL è sicuro, anche i tuoi dati dovrebbero essere sicuri. Non sono troppo sicuro della possibilità di falsificare certificati, ma in generale quello che ho letto è se è firmato dall'autorità competente, allora è reale. Prima farei qualche ricerca, anche se penso che sia improbabile che i tuoi dati vengano intercettati presumendo che SSL sia sicuro, anche se immagino ci sia una via d'uscita per falsificare un certificato (senza che venga mostrato un avviso - assicurati che il certificato sia attendibile ).
Leggi altre domande sui tag javascript php authentication encryption tls