Бывает ли такой прокси?

Question

[0xC0CAC01A]

Предположим, Вы зашли в интернет-кафе, вам надо посмотреть что-то конфиденцияальное по HTTP (без S) и вы не хотите чтобы кто-то (например, владелец кафе) перехватил ваш трафик (включая посещённые адреса). Вы не можете установить VPN или SSH на кафейный комп, но вы можете задать прокси в настройках браузера. Бывает ли такой прокси, такой чтоб современный браузер установил с ним соединение с использованием SSL?

Answer 1

[mrpsycho]

так дома(в офисе/у хостера) установите себе прокси-сервер нужный под ваши требования, и будет у вас счастье.

Comments

[0xC0CAC01A]

Вопрос, какой из них — нужный.

Answer 2

[ZmeeeD]

Мне кажется вы хотите ходить по http без шифрования (т.е. браузер не будет и не должен шифровать данные, передаваемые куда либо, в том числе к прокси серверу) поэтому даже если вы найдёте такой прокси (просто тоже не уверен в его существовании) то данные до него будут идти в открытом виде — Их могут перехватить.

Comments

[Sergei Borisov]

Как я понял автора, вопрос как раз и был в том, есть ли такие прокси сервера, которые умеют принимать трафик от браузера c ssl, ну соответсвенно, а кто есть те браузеры (если есть они есть), чтобы он могли к прокси серверу ходить с ssl.

[0xC0CAC01A]

Да, интересуюсь именно безопасностью соединения от браузера до прокси. И да, прокси может быть установлен дома-в офисе-у хостера.

Answer 3

[merlin-vrn]

Проще поднять https reverse proxy. Сам прокси будет ходить к оченьважномусерверу по http, а вот вы к нему будете подключаться чрез ssl.

nginx умеет.

Comments

[0xC0CAC01A]

да, только URL-ки всё равно видны, нет?

[merlin-vrn]

нет, не видны. С обратным прокси устанавливается SSL-соединение, внутри которого уже передаётся HTTP-запрос

ну это с точки зрения клиента — обычный https, никуда ничего настраивать не нужно

[0xC0CAC01A]

Тогда с этого момента поподробнее пожалуйста. Как заставить nginx это делать?

[merlin-vrn]

Ну вот так я поступил со стораджем HP MSA P2000. Он сам по себе не умеет HTTPS (или там это выключено, тогда это я просто не нашёл, как включить). Обратный прокси всё равно делал (для других целей), а конфиг конкретно этого виртуалхоста выглядит так:

server {
        listen [::]:443 ssl;

        server_name name-to-connect-to-via-https.domain.tld;

        ssl_certificate /etc/ssl/nginx/nginx.crt;
        ssl_certificate_key /etc/ssl/nginx/nginx.key;

        access_log /var/log/nginx/storage1.access_log main;
        error_log /var/log/nginx/storage1.error_log info;

        location / {
                proxy_pass http://address-to-connect-to-via-http.domain.tld;
                proxy_set_header Host $http_host; // нужно, если http://address-to-connect-to-via-http.domain.tld должен получать заголовок Host: name-to-connect-to-via-https.domain.tld
        }
}

ну и в dns name-to-connect-to-via-https.domain.tld указывает на адрес обратного прокси

address-to-connect-to-via-http.domain.tld — это тот сервер, доступ на который хочется получать по https, а он доступен только по http. Его мы и проксируем.

в браузере вводим https://name-to-connect-to-via-https.domain.tld/ и поехали

Answer 4

[Sergey]

cgi-proxy.

Answer 5

[FilimoniC]

Вас спасет https прокси. То есть типа кучи ваб-прокси, но по https.
Тут ваааажный момент — при заходе с кафешки надо проверить что сертификат не подменен. Т.к. mitm-сертификат может быть в списке доверия у кафешного компа => ваш траффик будет спокойно расшифрован.

Ни и кейлогеры, скринлогеры, CCTV и т.д., в общем не получится защитить со 100% вероятностью от известных типов атак (не говоря уж о неизвестных)

Answer 6

[Николай Турнавиотов]

У меня проще — RDP на домашней машине, смотрящий наружу, а после шифрованного RDP я хожу куда мне надо с домашнего броузера

Answer 7

[alexk24]

ru.wikipedia.org/wiki/%C2%E5%E1-%EF%F0%EE%EA%F1%E8

Вероятно вам нужен свой веб сервер с настроенным HTTPS и установленным скриптом веб прокси.
Выглядеть это будет примерно так: www.proxer.ru/

Но при использовании веб прокси на https рекомендуется проверять соответствие сертификата веб сервера тому что вы установили — кафешка может реализовывать атаку «man in the middle» т.е. перенаправлять трафик на свой прокси сервер и отдавать свой сертификат в замен вашего.

Ну и еще один очень важный момент — компьютеры в кафешках ни в коем случае нельзя считать хоть сколько нибудь безопасными — там вполне могут стоять и кейлогеры и программы делающие скриншоты экрана с определенным промежутком. В таком случае все ваши изощрения полностью теряют свой смысл.