糟糕的想法?本地网络的透明 https 缓存代理

糟糕的想法?本地网络的透明 https 缓存代理

我不确定哪个 stackexchange 网络最适合这个问题...但是这里是:

实现透明的 https 代理以利用本地网络的本地缓存是一个糟糕的想法吗?

由于位置原因,我们受到带宽的限制,并且很遗憾无法获得更好的连接。

该域使用 Active Directory 并自动信任本地 pki。我担心允许代理模拟所有端点……但它可以工作,并且不需要太多努力就可以运行。所以我的问题是这是一种常见的做法还是不明智的做法?或者两者兼而有之?

有很多好处……但似乎相当危险。

答案1

正如许多人在评论中所说,出于多种原因,这是一个糟糕的想法。其中最重要的原因是绝大多数内容都是动态的、特定于用户的,而且缓存没有任何意义。此外,如果网站配置错误,您的缓存将固有地缺乏区分敏感信息和非敏感信息的能力。[编辑]

假设我是用户 A,我通过一个假设的地址访问我的电子邮件收件箱https://www.qwertyuiop-mail.com/inbox 他们的服务器已识别出我已经登录,并假定建立了安全连接,并向我显示了所有消息。

用户 B 决定也查看他的电子邮件https://www.qwertyuiop-mail.com/inbox因为他直接去了那里,所以你的缓存服务器说:“嘿!我已经缓存了这个页面!我只会为用户 B 提供刚刚为用户 A 提供过的内容”,然后,用户 B 现在可以看到用户 A 的页面,而且很可能还可以看到只有用户 A 才能看到的相当大一部分内容。

对于服务器所有者而言,他的系统应该可以正常工作,因为他不希望缓存任何内容。您将有效地创建被动的中间人攻击,系统上的任何用户都可能滥用该攻击。

如果您想做这种事情,我建议只对某些白名单网站执行此操作,您知道这些网站不包含任何登录信息,或者您以某种方式禁止登录。(只要您阻止登录该网站,维基百科可能是一个不错的选择)

相关内容