AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Proxy: Erzwingen von HTTPS

Ein Thema von Benedikt Magnus · begonnen am 11. Okt 2016 · letzter Beitrag vom 11. Okt 2016
Antwort Antwort
Benedikt Magnus

Registriert seit: 6. Jul 2012
Ort: Bonn
190 Beiträge
 
FreePascal / Lazarus
 
#1

Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 18:12
Hallo zusammen,

ich erstelle das hier mal in "Klatsch und Tratsch", weil es ja nicht direkt was mit Programmierung zu tun hat.

Wir haben in unserem lokalen Netz Squid als HTTP-/HTTPS-Proxy laufen, der Anfragen zentral speichern soll, um Traffic zu sparen und die Ladezeiten zu verkürzen. HTTPS-Verkehr kann aber natürlich nicht gespeichert werden da verschlüsselt. Einen Man-in-the-Middle-Angriff würde ich gerne (aus hoffentlich ersichtlichen Gründen) vermeiden. Mir kam daraufhin der Gedanke, dass die Verbindung vom Client zum Proxy gar nicht verschlüsselt sein müsste, insofern anschließend der Proxy über HTTPS mit dem Server kommunizieren würde.

Also in folgendem Aufbau:
Client -> HTTP -> Proxy -> HTTPS -> Server

Dadurch würden zum Einen Seiten, die HTTPS erzwingen (Wikipedia, Google etc.) ebenfalls zwischengespeichert werden und zum Anderen die verschlüsselte Übertragung immer dort verwendet werden, wo sie möglich ist.

Leider hat sich selbst nach umfangreicher Recherche kein ähnlicher Aufbau finden lassen. Mitunter liegt das auch nur daran, dass mir eine Bezeichnung für ein solches Vorgehen fehlt. Daher nun die Frage an euch: Kennt ihr eine Möglichkeit, dies umzusetzen? Durchaus auch mit einem anderen Proxy, wenn er Caching unterstützt. Oder wenn nicht: Ließe sich so etwas mit vertretbarem Aufwand selbst umsetzen?
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#2

AW: Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 18:18
Lass das bleiben, das funktioniert nicht.

Zum einen gibt es diverse browserbasierte Sicherheitsmechanismen, die HTTPS im Browser voraussetzten (HSTS, Secure Cookies). Dann hast du HTTPS-Direktlinks, die in deinem Setup nicht mehr funktionieren würden. Außerdem führst du das Ende-zu-Ende Prinzip damit ad-absurdum. Und es gibt bestimmt noch vieles mehr, je länger man darüber nachdenkt.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.861 Beiträge
 
Delphi 11 Alexandria
 
#3

AW: Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 18:26
Ich würde bei SSL auf die Speicherung verzichten und einfach den CONNECT am Squid erlauben.
Sonst müsstest Du die SSL-Verbindung aufbrechen. (Wogegen m.E. nicht nur datenschutzrechtliche Gründe sprechen, sondern auch Sicherheitslöcher öffnet)
Markus Kinzler
  Mit Zitat antworten Zitat
Benedikt Magnus

Registriert seit: 6. Jul 2012
Ort: Bonn
190 Beiträge
 
FreePascal / Lazarus
 
#4

AW: Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 18:40
Lass das bleiben, das funktioniert nicht.

Zum einen gibt es diverse browserbasierte Sicherheitsmechanismen, die HTTPS im Browser voraussetzten (HSTS, Secure Cookies). Dann hast du HTTPS-Direktlinks, die in deinem Setup nicht mehr funktionieren würden. Außerdem führst du das Ende-zu-Ende Prinzip damit ad-absurdum. Und es gibt bestimmt noch vieles mehr, je länger man darüber nachdenkt.
An Secure Cookies hatte ich nicht gedacht, aber die HTTPS-Direktlinks ließen sich durch den Proxy oder zumindest durch ein Browserplugin zu HTTP ändern lassen.
Das Ende-zu-Ende-Prinzip möchte ich ja gerade ein wenig angreifen, da ich die Kommunikation im lokalen Netz als sicher ansehen kann und so die Möglichkeit der zentralen Zwischenspeicherung erhalte.

Ich würde bei SSL auf die Speicherung verzichten und einfach den CONNECT am Squid erlauben.
Sonst müsstest Du die SSL-Verbindung aufbrechen. (Wogegen m.E. nicht nur datenschutzrechtliche Gründe sprechen, sondern auch Sicherheitslöcher öffnet)
So ist es bisher eingestellt. Ich suche nur derzeit nach einer Möglichkeit (ja, eventuell bleibt diese Suche erfolglos), mit der ich ohne Man in the Middle zwischenspeichern kann.

Anbei:
Ich habe soweit vollkommene Kontrolle über den Proxy und die Clients, kann also entsprechend verfahren.
  Mit Zitat antworten Zitat
Benutzerbild von Valle
Valle

Registriert seit: 26. Dez 2005
Ort: Karlsruhe
1.223 Beiträge
 
#5

AW: Proxy: Erzwingen von HTTPS

  Alt 11. Okt 2016, 20:18
Das Ende-zu-Ende-Prinzip möchte ich ja gerade ein wenig angreifen, da ich die Kommunikation im lokalen Netz als sicher ansehen kann und so die Möglichkeit der zentralen Zwischenspeicherung erhalte.
Finde ich nicht gut, aber das ist deine Entscheidung.

Ich habe soweit vollkommene Kontrolle über den Proxy und die Clients, kann also entsprechend verfahren.
Wenn es unbedingt sein muss, erstell eine eigene CA und roll diese in die Clients aus. Wie das dann mit EV Zertifikaten ist weiß ich aber nicht.

Anleitungen scheint man über Bei Google suchensquid https gut zu finden.
Valentin Voigt
BOFH excuse #423: „It's not RFC-822 compliant.“
Mein total langweiliger Blog
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz