So che anche con HTTPS è possibile che un proxy aziendale veda il traffico da / verso il mio sito web (ad es. Intercettazione del traffico HTTPS utilizzando il servizio Squid Proxy in pfSense ).
Voglio che i miei utenti abbiano una privacy totale. C'è un modo per proteggere i dati, magari usando Javascript, o un secondo livello di SSL, ecc.? C'è una soluzione aperta altrove?
Il client che visita il tuo sito web riceverà un avviso di certificato se la connessione sta passando attraverso un proxy a meno che il server MITM non utilizzi una CA che il client si fida anche della connessione, quindi non c'è una vera vulnerabilità finché gli utenti mantengono la loro propria sicurezza.
In alternativa, è possibile richiedere l'autenticazione del certificato client TLS sul server. Dovrai quindi gestire la distribuzione sicura del certificato client che accetti, ma fino a quando questa parte del setup rimane valida, non sarà possibile eseguire un attacco MITM sulla connessione.
Se sei un amministratore usa HSTS Ci sono alcune misure che puoi prendere per la privacy dei dati 1. Utilizzare TOR 2. Utilizzare una VPN Se combini entrambi, sarai al 99% anonimo.
Leggi altre domande sui tag privacy tls man-in-the-middle