ESNI (Encrypted Server Network Identification) con HTTP CONNECT (HTTP Proxy)

Naviga le tue risposte
1

Per quanto riguarda il RFC ESNI ( link ), esso gestisce molte vulnerabilità di sicurezza. Tuttavia, sono interessato a come dovrebbe impedire la fuga di informazioni riservate (SNI) in caso di utilizzo del proxy HTTP (o forzato per l'uso)?

La richiesta HTTP CONNECT invia il nome FQDN del dominio in chiaro prima che qualsiasi connessione venga sottoposta a tunnel.

So che il proxy è un altro livello non correlato allo stesso ESNI, ma penso che dovrebbe essere considerato come una possibile debolezza.

Mi manca qualcosa qui?

(per favore qualcuno aggiunge nuovi tag "esni", "sni" e "tls-1.3" a questa domanda - non avere reputazione per questo, grazie)

    
posta lukyer 30.11.2018 - 09:43
fonte

1 risposta

0

L'obiettivo dell'ESNI è negare l'osservabilità del dominio di destinazione quando viene eseguito solo lo sniffing passivo del traffico. Si rivolge principalmente a un'ispezione approfondita dei pacchetti a livello di ISP che potrebbe voler creare profili di utenti o limitare il traffico ad alcuni obiettivi per il proprio guadagno o perché le leggi lo richiedono.

Questo non impedisce la visibilità del dominio di destinazione nella richiesta CONNECT. Ma una richiesta CONNECT viene emessa solo dal browser se un proxy è configurato esplicitamente nel browser. Questo deve essere fatto da una persona che controlla il computer e spesso viene spinto tramite politiche aziendali. I proxy espliciti vengono solitamente utilizzati solo all'interno della rete aziendale (o domestica), il che significa fuori dalla portata dell'ISP. E la visibilità e la regolamentazione del traffico all'interno di queste reti di proprietà privata sono comunemente (più o meno) accettate come necessità.

    
risposta data 30.11.2018 - 10:27
fonte

Leggi altre domande sui tag

Consigli per l'esecuzione dell'identificazione dei rischi in ISO27005: 2011 SQL Server è in grado di inviare la catena di certificati al client?