Abbiamo una rete che attualmente ha zero accesso a Internet. Voglio fornire agli utenti della rete un mezzo per accedere a determinati siti produttivi come riferimento, come Stack Exchange Network, W3Schools, Perl Monk, ecc. Inoltre, voglio che siano in grado di scaricare gli ultimi aggiornamenti per le loro applicazioni, tra cui Firefox, Chrome OS, IntelliJ, forse anche gli aggiornamenti di Windows.
Solo su una base di whitelist. In questo modo se uno di loro finisce con un virus, non avrebbe un modo per chiamare casa, perché "casa" non è nella lista bianca. (Non mi aspetto che chiunque abbia accesso ai server Perl Monk raccolga file sensibili inviati da un virus. Dovrebbe essere un altro indirizzo IP arbitrario.)
Tuttavia, mi sono reso conto che i dati potrebbero essere pubblicati sotto forma di una domanda di posta elettronica o del forum, senza la cooperazione intenzionale della rete autorizzata.
Un'opzione è di regolare il proxy per consentire solo le richieste GET. Ad esempio, Stack Exchange può essere facilmente esplorato con le sole richieste GET, ma il contenuto non può essere inviato senza l'uso di una richiesta POST. In questo modo gli sviluppatori potrebbero ancora ottenere risposte alle loro domande senza dare ai virus un modo per chiamare casa.
-
Una whitelist di host è ragionevole?
(Sto pensando di sì, dal momento che rende "chiamata a casa" più difficile per un virus.) -
È permesso solo GET, senza POST considerato impraticabile, oppure è una tecnica utilizzata nel settore. Sono pazzo o è una buona idea impostare il proxy trasparente?
I siti dovrebbero limitare le funzionalità di invio dei dati alle richieste POST, per proteggersi da CSRF. Quindi, partendo dal presupposto che la partecipazione sarà buona nei siti autorizzati, sembra che consentire le richieste GET sia una buona idea. Cosa è raccomandato?