Pourquoi (techniquement parlant) n'est il pas possible de faire passer des
protocoles s'appuyant sur SSL (https par exemple) au travers d'un proxy
transparent ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On Fri, 30 Jan 2004 12:23:18 +0100, mezigue wrote:
Pourquoi (techniquement parlant) n'est il pas possible de faire passer des protocoles s'appuyant sur SSL (https par exemple) au travers d'un proxy transparent ?
Il est possible de les faire "passer", mais strictement rien d'autre (i.e. pas d'interprétation du contenu, d'utilisation du cache local, de restrictions sur les sites visibles ou pas...), tout bêtement parce que le contenu de la connexion est chiffré, justement pour éviter que qui que ce soit sur le chemin ne puisse s'amuser à écouter et/ou modifier le contenu...
Dans le cas d'un proxy classique, la connexion sera envoyée vers le proxy, mais commencera aussi sec par une requête de type CONNECT qui va établir une sorte de "tunnel" transparent vers le site final. Avec un proxy transparent, là, c'est encore pire, ce sera directement du SSL, donc à part router les paquets, pas grand chose à faire. Donc intérêt 0.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On Fri, 30 Jan 2004 12:23:18 +0100, mezigue <mezigue@libertysurf.Fr> wrote:
Pourquoi (techniquement parlant) n'est il pas possible de faire passer
des protocoles s'appuyant sur SSL (https par exemple) au travers d'un
proxy
transparent ?
Il est possible de les faire "passer", mais strictement rien d'autre (i.e.
pas d'interprétation du contenu, d'utilisation du cache local, de
restrictions sur les sites visibles ou pas...), tout bêtement parce que le
contenu de la connexion est chiffré, justement pour éviter que qui que ce
soit sur le chemin ne puisse s'amuser à écouter et/ou modifier le
contenu...
Dans le cas d'un proxy classique, la connexion sera envoyée vers le proxy,
mais commencera aussi sec par une requête de type CONNECT qui va établir
une sorte de "tunnel" transparent vers le site final. Avec un proxy
transparent, là, c'est encore pire, ce sera directement du SSL, donc à
part router les paquets, pas grand chose à faire. Donc intérêt 0.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
On Fri, 30 Jan 2004 12:23:18 +0100, mezigue wrote:
Pourquoi (techniquement parlant) n'est il pas possible de faire passer des protocoles s'appuyant sur SSL (https par exemple) au travers d'un proxy transparent ?
Il est possible de les faire "passer", mais strictement rien d'autre (i.e. pas d'interprétation du contenu, d'utilisation du cache local, de restrictions sur les sites visibles ou pas...), tout bêtement parce que le contenu de la connexion est chiffré, justement pour éviter que qui que ce soit sur le chemin ne puisse s'amuser à écouter et/ou modifier le contenu...
Dans le cas d'un proxy classique, la connexion sera envoyée vers le proxy, mais commencera aussi sec par une requête de type CONNECT qui va établir une sorte de "tunnel" transparent vers le site final. Avec un proxy transparent, là, c'est encore pire, ce sera directement du SSL, donc à part router les paquets, pas grand chose à faire. Donc intérêt 0.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
T0t0
"Jacques Caron" wrote in message news:
Dans le cas d'un proxy classique, la connexion sera envoyée vers le proxy, mais commencera aussi sec par une requête de type CONNECT qui va établir une sorte de "tunnel" transparent vers le site final.
Et dans ce cas, le proxy ne voit rien non plus :-( S'il veut y voir kek chose, il faut qu'il gère un tunnel SSL de chaque coté, et donc qu'il présente un certificat au client (qui aura un vilain pop up!)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Jacques Caron" <jc@imfeurope.com> wrote in message
news:opr2laoac2q1hokb@news.free.fr
Dans le cas d'un proxy classique, la connexion sera envoyée vers le proxy,
mais commencera aussi sec par une requête de type CONNECT qui va établir
une sorte de "tunnel" transparent vers le site final.
Et dans ce cas, le proxy ne voit rien non plus :-(
S'il veut y voir kek chose, il faut qu'il gère un tunnel SSL de chaque
coté, et donc qu'il présente un certificat au client (qui aura un
vilain pop up!)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Dans le cas d'un proxy classique, la connexion sera envoyée vers le proxy, mais commencera aussi sec par une requête de type CONNECT qui va établir une sorte de "tunnel" transparent vers le site final.
Et dans ce cas, le proxy ne voit rien non plus :-( S'il veut y voir kek chose, il faut qu'il gère un tunnel SSL de chaque coté, et donc qu'il présente un certificat au client (qui aura un vilain pop up!)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
