trybun <MxLeChSo@jahu.cb> napisał(a):
Nie bardzo rozumiem, piszesz że za pomocą proxy łatwiej ukryć rzeczywiste
IP niż pod VPNem. Tymczasem masz stronę która demaskuje taką operację za
pomocą proxy..
Moja pomyłka, źle zrozumiałem Twojego posta. Łatwiej namierzyć usera proxy.
Przy czym z tym proxy sprawa jest trochę skomplikowana. Proxy może działać w
dwóch trybach. W jednym reaguje na standardowe komendy (metody) HTTP, takie
jak GET czy POST. Jak dostanie taką komendę, może ją przesłać do docelowego
serwera lub też odesłać plik z lokalnego cache'a. W takim trybie proxy ma
duże możliwości ingerencji w ruch. Może nie tylko doklejać wspomniany
nagłówek lub inne, ale też np. podmieniać pliki czy blokować określone
treści. Drugi tryb mamy, gdy klient wyda komendę CONNECT. Wówczas proxy
zestawia przezroczysty tunel do docelowego serwera i nie ingeruje w ruch.
Dzięki CONNECT możemy tunelować dowolne protokoły, nie tylko ruch WWW. Poza
tym CONNECT jest potrzebny żeby przenosić ruch HTTPS. Proxy nie może bowiem
rozszyfrować SSL-a, więc nie może forwardować ruchu w pierwszym trybie.
HTTPS zabezpiecza więc nas przed dodaniem nagłówka X-Forwarded-For lub
innego, ułatwiającego śledzenie.
Wyjątek od powyższej reguły jest wtedy, gdy mamy proxy rozszyfrowujące SSL,
ale wymaga to do działania żeby na komputerze klienta certyfikat proxy
został ręcznie dodany do zaufanych. Spotyka się to w firmach. Admin
instaluje pracownikom certyfikat proxy i wtedy możliwe jest kontrolowanie
tego co robią w sieci, nawet jeśli używają HTTPS. Oczywiście wymaga to
zablokowania routingu na świat, żeby nie mieli innej możliwości wyjścia do
Internetu jak tylko przez firmowe proxy.
W każdym razie w typowych domowych warunkach, gdy nikt nie ingeruje w nasz
system, używanie HTTPS pozwoli na taki sam poziom prywatności jak VPN.
Zaznaczę jeszcze, że powyższe rozważania dotyczą proxy typu HTTP. Są też
proxy typu SOCKS, które działają podobnie jak proxy HTTP w trybie CONNECT.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
|