假设我想访问一些因某种原因被当局封锁的网站。
我了解这些网站有时可以使用以下方式访问,但功能会受到限制:匿名代理。但是,当您访问 Google Sites 等网站时,您需要提供用户名和密码。有时是为了上传文件,有时是为了仅供读取。
当我直接登录网站时,只要我访问网站,我的用户名和密码就会通过网络加密发送https
。但是,当我通过代理登录时,我的用户名和密码可能会通过网络加密发送到代理网站,但代理网站必须代表我提交,因此它将以明文形式收到它们。
这时我开始感到不安全。代理网站所有者是否可以将我的用户名和密码用于不正当目的?
我的猜测是否错误,请指出。
我们也欢迎任何提示或建议。
答案1
如果您可以生成端到端会话,那么您可以通过代理获得安全性,因为代理无法拦截您的通信,但如果您的会话在代理处终止并且他们代表您连接到网站,则代理所有者可以使用该信息做任何他们想做的事情。
这就是为什么需要更高安全性的网站(例如网上银行)尝试从服务器到您的桌面建立 SSL 连接 - 并尽最大努力检测或防止 MITM 攻击。
如果您不控制代理,您需要确定您可以信任它的程度 - 这取决于您所保护的内容的价值。
我们对此有很多疑问安全 Stack Exchange- 过来寻求一些指导。
答案2
是的,你的猜测是正确的。网络代理所有者可能通过记录所有流量数据来知道你发送的用户名/密码。请不要通过网络代理发送敏感信息。
如果使用 IP:Port 代理,则会更安全。仅供参考,使用代理安全吗?http://www.change-ip.net/proxy-safe/
答案3
如果你非常重视安全性,并且不介意带来不便,那么你可以使用职责范围。只需确保您也使用 https,因为否则最后一步(退出节点到目标站点)是未加密的。