"А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все шифруется."
Не в том дело. Насколько я понимаю принцип работы прозрачного прокси - берется пакет, и в нем подменяется адрес, что бы тот пересылался через прокси, на котором опять же адрес подменяется на внешний (скорее всего где-то ошибся в описании алгоритма, но вроде общий смысл примерно такой). Вот тут-то и проблема. Нельзя подменить таким образом адрес в https пакете. И да, через прокси https работает, но не через прозрачный. А вопрос как раз был в том, что бы использовать одновременно прозрачный прокси и https без каких-либо дополнительных настроек на клиентских компах. 14 октября 2013 г., 14:23 пользователь Vladimir Skubriev < vladi...@skubriev.ru> написал: > On 10/14/2013 02:12 PM, Эл Noname wrote: > >> Насчет не могут/не получится контролировать - спорить не буду, у меня >> большие пробелы в этих знаниях. Но помнится, когда делал это в последний >> раз - в режиме прозрачного проксирования https просто не работал, возможно >> делал что-то не так. Но почитав форумы, нашел объяснение что это нормально, >> ибо если бы в режиме прокси работал https - то это уже "men in middle". >> >> А насчет iptables - да, спасибо за подсказку. А что делать, если хочется >> еще и статистику, управление шириной канала для пользователей и тд и тп что >> дает прокси сервер? >> > я на сквиде ни когда не настраивал pools, т.е. управление шириной канала > для пользователей > только статистику делал - с этим проблем нет, прикрутить lightsquid - не > сложно > > а вот ширина канала на уровне "не прокси" - занятие не для новичков. > > по крайней мере я уже 5 лет о ней мечтаю, но пока вот все попытки > увенчивались тем, что или не получалось или получалось но совсем не то, что > хотелось бы ) > > вообще я был не прав на счет не могут контроллировать. я почему то собрал > все в кучу а хотел сказать, что https нельзя контроллировать, ну только на > уровне CONNECT'ов наверное. > > Работать https через прокси будет, вот прозрачный - ? Да поидее и так ни > чего не будет мешать. > > А man-in-the-middle для http - чепуха, абсолютно ни каких угроз, т.к. все > шифруется. Хотя идеально HTTPS настроить не так уж и просто. Имеется в > виду, что там много своих внутренних ньюансов - которыми можно максимально > все защитить. > > > -- > С Уважением, > специалист по техническому и программному обеспечению, > системный администратор > > Скубриев Владимир > ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~**~~~~~~~~~~~~~~~~~ > Россия, Ростовская область, г. Таганрог > > тел. моб: +7 (918) 504 38 20 > skype: v.skubriev > icq: 214-800-502 > www: skubriev.ru > > > -- > ubuntu-ru mailing list > ubuntu-ru@lists.ubuntu.com > https://lists.ubuntu.com/**mailman/listinfo/ubuntu-ru<https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru> > -- С уважением, Эл.
-- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru