> On 10 Apr 2021, at 11:50, Petru Rațiu <rpe...@gmail.com> wrote: > > Bun, mai incerc o data. Daca alegi sa folosesti un proxy, ar trebui sa stii > de ce. Poate reteaua in care esti nu are acces direct la internet decat asa > sau poate vrei sa accesezi serverul cu pricina de la alt IP. Sau poate > cineva rau ti-a facut takeover pe computer si incearca sa-ti pacaleasca > clientul sa trimita traficul in alta parte. Interpretarea de securitate nu > tine de mecanism in sine, trebuie doar sa intelegi cum functioneaza si apoi > sa decizi daca vrei sau nu vrei asta. > > Variabilele de care intrebai initial tin de apucaturile clientului in sine > (aparent nu prea ai confirmat ca ai inteles diferenta). E posibil sa am un > program care se uita dupa variabila MY_FANCY_PROXY si sa ignore complet > altele. Ce trebuie sa stii este ca e o actiune pe care programul o ia > explicit si mecanismul difera in functie de protocol. unele din povestile > enumerate mai sus in thread nu au sens decat in scenariul de transparent > proxy, cand clientul nu face nimic special, se conecteaza in mod normal, > dar un router pe drum ia streamul TCP si-l redirecteaza in proxy, care la > randul lui trebuie sa stie ca clientul nu coopereaza si trebuie sa se > descurce singur (aici incep sa devieze mult mai tare mecanismele pt tls si > non-tls traffic, dar deviem de la subiect). > > Revenind la proxy explicit, atat clientul cat si proxy-ul fac lucruri > diferite pentru http si https, asa ca asta cumva justifica sa ai > configurari separate (desi in general se foloseste acelasi device ca proxy > pentru ambele din ratiuni de convenienta). > > Ultima intrebare la care mai raspund, "la ce ma mai ajuta https_proxy daca > proxy-ul oricum nu vede nimic?" Simplu, ca sa mearga :) ok, deci numai ca sa eviti eventuale probleme cand nu stii exact care e behavior-ul clientului (daca face sau nu fallback la http) ; pentru mine nu are sens, dar i’ll take it as it is > Ultima oara cand > m-am uitat, wget nu se uita la http_proxy pentru url-uri care incepeau cu > https, si daca adminul retelei locale nu te lasa din firewall sa iesi pe > 443 prin default gateway ci trebuie sa folosesti explicit proxy (din ce > motive, depinde de la caz la caz, poate asa i s-a nazarit), n-o sa mearga. > asta e cazul in multe medii (cam toate in care am lucrat pina acum ) unde accessul se face explicit prin proxy (pentru ca aparent nu exista alta metoda eficienta de autentificare/filtrare/control al traficului) > Aia cu validarea tls e alt can of worms,si "urechismul" tine mai adesea de > asteptarile pe care le ai, sunt surprinzator de multe aspecte pe care poti > alege sa le faci diferit. daca aspectele din link-ul de mai jos sunt inca actuale , e scary
https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf > > -- > P. > _______________________________________________ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro