63
Có thể có kết nối HTTPS qua máy chủ proxy không? Nếu có, loại máy chủ proxy nào cho phép điều này?Kết nối HTTPS qua máy chủ proxy
trùng lắp với How to use Socks 5 proxy with Apache HTTP Client 4?
A
Trả lời
38
TLS/SSL (Chỉ số S trong HTTPS) đảm bảo rằng không có người nghe trộm giữa bạn và máy chủ bạn đang liên hệ, tức là không có proxy. Thông thường, bạn sử dụng CONNECT để mở kết nối TCP thông qua proxy. Trong trường hợp này, proxy sẽ không thể lưu vào bộ nhớ cache, đọc hoặc sửa đổi kết nối và do đó vô dụng.
Nếu bạn muốn proxy để có thể đọc thông tin, bạn có thể lấy phương pháp sau đây:
- Khách hàng bắt đầu phiên giao dịch HTTPS
- Proxy minh bạch chặn kết nối và trả về một ad-hoc được tạo ra (có thể là giấy chứng nhận yếu) K a, có chữ ký của cơ quan cấp chứng chỉ được khách hàng yêu cầu vô điều kiện .
- Proxy bắt đầu phiên HTTPS để nhắm mục tiêu
- Proxy xác minh tính toàn vẹn của chứng nhận SSL ; hiển thị lỗi nếu chứng chỉ không hợp lệ.
- Proxy suối nội dung, giải mã nó và tái mã hóa nó với K một
- hiển thị khách hàng nhét
Một ví dụ là Squid SSL bump. Tương tự, burp can be configured để làm điều này. Điều này cũng đã được used in a less-benign context by an Egyptian ISP.
Lưu ý rằng các trang web và trình duyệt hiện đại có thể sử dụng HPKP hoặc built-in certificate pins để đánh bại phương pháp này.
+8
Điều này có thể hoạt động theo nguyên tắc, nhưng đó không phải là cách trình duyệt nói chuyện với proxy HTTP cho các yêu cầu HTTPS. Cách nó được mô tả ở đây ngụ ý rằng máy chủ proxy có hiệu quả là một Man-In-The-Middle (do đó sẽ phải được tin cậy cho phù hợp). – Bruno
+5
Mực thực hiện điều này. Nó được gọi là [SSL Bump] (http://wiki.squid-cache.org/Features/SslBump). –
+3
Sẽ không hoạt động với nhiều cảnh báo cho người dùng cuối. "vô điều kiện được khách hàng tin tưởng" - không có thứ gì như vậy. Ngay cả là cert là hoàn hảo-AAA +++, nó vẫn cho thấy tên miền khác nhau không phù hợp với những gì người dùng cuối yêu cầu, mà sẽ làm cho bất kỳ trình duyệt lành mạnh (không có nghĩa là IE ở đây ...) nhảy lên và xuống la hét. Tất nhiên, nó có thể sử dụng wget với các tham số vô hiệu hóa kiểm tra SSL, nhưng đoán những gì? kết nối này không thể được đặt tên là "SSL" nữa sau khi kiểm tra bảo mật lõi bị vô hiệu hóa. –
14
theo như tôi có thể nhớ, bạn cần sử dụng truy vấn HTTP CONNECT trên proxy. điều này sẽ chuyển đổi kết nối yêu cầu thành đường hầm TCP/IP trong suốt.
để bạn cần biết liệu máy chủ proxy bạn sử dụng có hỗ trợ giao thức này hay không.
+2
Thật vậy, khách hàng sử dụng động từ CONNECT để sử dụng https: // URI thông qua máy chủ proxy HTTP. Trong trường hợp này, kết nối được điều chỉnh thông qua proxy, vì vậy việc xác minh chứng chỉ được thực hiện như bình thường, như thể khách hàng đang nói chuyện trực tiếp với máy chủ kết thúc. – Bruno
+0
@chburd, Nhưng proxy có thường hỗ trợ HTTP CONNECT không? – Pacerier
9
Nếu nó vẫn còn quan tâm, đây là một câu trả lời cho một câu hỏi tương tự: Convert HTTP Proxy to HTTPS Proxy in Twisted
Để trả lời phần thứ hai của câu hỏi:
Nếu có, những loại máy chủ proxy phép điều này?
Ngoài hộp, hầu hết các máy chủ proxy sẽ được định cấu hình để chỉ cho phép kết nối HTTPS tới cổng 443, do đó, URI https với cổng tùy chỉnh sẽ không hoạt động. Điều này thường có thể cấu hình, tùy thuộc vào máy chủ proxy. Ví dụ, Squid và TinyProxy hỗ trợ điều này.
2
Bạn có thể thực hiện việc này bằng cách sử dụng các kỹ thuật người trung gian với tạo SSL động. Hãy xem mitmproxy - đó là một proxy MITM có khả năng SSL dựa trên Python.
2
đường hầm HTTPS thông qua SSH (phiên bản Linux):
1) turn off using 443 on localhost
2) start tunneling as root: ssh -N [email protected]_server -L 443:target_ip:443
3) adding 127.0.0.1 target_domain.com to /etc/hosts
tất cả mọi thứ bạn làm trên localhost. sau đó:
target_domain.com is accessible from localhost browser.
4
Đây là mã Java hoàn chỉnh hỗ trợ cả yêu cầu HTTP và HTTPS sử dụng proxy SOCKS.
import java.io.IOException;
import java.net.InetSocketAddress;
import java.net.Proxy;
import java.net.Socket;
import java.nio.charset.StandardCharsets;
import org.apache.http.HttpHost;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.protocol.HttpClientContext;
import org.apache.http.config.Registry;
import org.apache.http.config.RegistryBuilder;
import org.apache.http.conn.socket.ConnectionSocketFactory;
import org.apache.http.conn.socket.PlainConnectionSocketFactory;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.impl.conn.PoolingHttpClientConnectionManager;
import org.apache.http.protocol.HttpContext;
import org.apache.http.ssl.SSLContexts;
import org.apache.http.util.EntityUtils;
import javax.net.ssl.SSLContext;
/**
* How to send a HTTP or HTTPS request via SOCKS proxy.
*/
public class ClientExecuteSOCKS {
public static void main(String[] args) throws Exception {
Registry<ConnectionSocketFactory> reg = RegistryBuilder.<ConnectionSocketFactory>create()
.register("http", new MyHTTPConnectionSocketFactory())
.register("https", new MyHTTPSConnectionSocketFactory(SSLContexts.createSystemDefault
()))
.build();
PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(reg);
try (CloseableHttpClient httpclient = HttpClients.custom()
.setConnectionManager(cm)
.build()) {
InetSocketAddress socksaddr = new InetSocketAddress("mysockshost", 1234);
HttpClientContext context = HttpClientContext.create();
context.setAttribute("socks.address", socksaddr);
HttpHost target = new HttpHost("www.example.com/", 80, "http");
HttpGet request = new HttpGet("/");
System.out.println("Executing request " + request + " to " + target + " via SOCKS " +
"proxy " + socksaddr);
try (CloseableHttpResponse response = httpclient.execute(target, request, context)) {
System.out.println("----------------------------------------");
System.out.println(response.getStatusLine());
System.out.println(EntityUtils.toString(response.getEntity(), StandardCharsets
.UTF_8));
}
}
}
static class MyHTTPConnectionSocketFactory extends PlainConnectionSocketFactory {
@Override
public Socket createSocket(final HttpContext context) throws IOException {
InetSocketAddress socksaddr = (InetSocketAddress) context.getAttribute("socks.address");
Proxy proxy = new Proxy(Proxy.Type.SOCKS, socksaddr);
return new Socket(proxy);
}
}
static class MyHTTPSConnectionSocketFactory extends SSLConnectionSocketFactory {
public MyHTTPSConnectionSocketFactory(final SSLContext sslContext) {
super(sslContext);
}
@Override
public Socket createSocket(final HttpContext context) throws IOException {
InetSocketAddress socksaddr = (InetSocketAddress) context.getAttribute("socks.address");
Proxy proxy = new Proxy(Proxy.Type.SOCKS, socksaddr);
return new Socket(proxy);
}
}
}
5
Câu trả lời ngắn gọn là: Có thể và có thể thực hiện với proxy HTTP đặc biệt hoặc proxy SOCKS.
Đầu tiên và trước hết, HTTPS sử dụng SSL/TLS theo thiết kế đảm bảo bảo mật đầu cuối bằng cách thiết lập kênh giao tiếp bảo mật qua kênh không an toàn. Nếu proxy HTTP có thể xem nội dung, thì đó là một kẻ nghe trộm trung gian và điều này đánh bại mục tiêu của SSL/TLS. Vì vậy, phải có một số thủ thuật được chơi nếu chúng tôi muốn proxy thông qua một proxy HTTP đồng bằng.
Bí quyết là, chúng tôi chuyển proxy HTTP thành proxy TCP bằng lệnh đặc biệt có tên CONNECT. Không phải tất cả proxy HTTP đều hỗ trợ tính năng này nhưng nhiều proxy hiện đang hoạt động. Proxy TCP không thể nhìn thấy nội dung HTTP đang được chuyển trong văn bản rõ ràng, nhưng điều đó không ảnh hưởng đến khả năng chuyển tiếp các gói dữ liệu qua lại. Bằng cách này, máy khách và máy chủ có thể giao tiếp với nhau với sự trợ giúp của proxy. Đây là cách bảo mật dữ liệu HTTPS an toàn.
Ngoài ra còn có một cách không an toàn để làm như vậy, trong đó proxy HTTP trở thành một người đàn ông ở giữa. Nó nhận được kết nối khách hàng khởi tạo, và sau đó bắt đầu một kết nối khác đến máy chủ thực. Trong một SSL/TLS được triển khai tốt, máy khách sẽ được thông báo rằng proxy không phải là máy chủ thực. Vì vậy, khách hàng phải tin tưởng proxy bằng cách bỏ qua cảnh báo cho mọi thứ hoạt động. Sau đó, proxy chỉ giải mã dữ liệu từ một kết nối, reencrypts và nạp nó vào một kết nối khác.
Cuối cùng, chúng ta có thể ủy quyền HTTPS thông qua proxy SOCKS, vì proxy SOCKS hoạt động ở mức thấp hơn. Bạn có thể nghĩ rằng một SOCKS proxy như là một TCP và một UDP proxy.
Các vấn đề liên quan
- 1. Cách kết nối với SQL Server qua máy chủ proxy
- 2. Cách kết nối máy chủ Ổ cắm qua proxy HTTP
- 3. C# Kết nối thông qua Proxy
- 4. Kết nối với tài khoản lưu trữ Azure qua máy chủ proxy
- 5. svn: OPTIONS của 'https: // ...': không thể kết nối đến máy chủ
- 6. Không thể đường hầm qua proxy. Proxy trả về "HTTP/1.1 407" qua https
- 7. Sử dụng Charles Proxy để định tuyến yêu cầu https tới máy chủ http địa phương
- 8. Kết nối với máy chủ MySQL qua SSH trong PHP
- 9. Kết nối HTTPS Python
- 10. Kết nối SOAP thông qua proxy bằng URLEndpoint
- 11. Máy chủ ủy quyền HTTPS trong node.js
- 12. Cách kết nối với máy chủ HTTPS bằng Thẻ Truy cập Thông thường
- 13. ngoại lệ Strange khi kết nối với một dịch vụ WCF thông qua một máy chủ proxy
- 14. C# máy chủ webclient và proxy
- 15. Máy chủ HTTPS Java đơn giản
- 16. Sử dụng máy khách SignalR thông qua proxy web
- 17. Máy chủ proxy sử dụng Indy
- 18. Từ chối kết nối từ máy chủ
- 19. Làm cách nào để kết nối qua HTTPS bằng Jsoup?
- 20. Phát hiện khách hàng bằng Máy chủ proxy qua PHP
- 21. Kết nối Arduino với Internet qua proxy tường lửa
- 22. Máy khách Amazon S3 kết nối thông qua proxy - putObject nhận NullPointerException
- 23. Làm cách nào để kết nối với trang web https bằng Scrapy qua Polipo qua TOR?
- 24. Kết nối máy chủ lưu trữ nối tiếp USB USB?
- 25. Rùa sẽ không kết nối với máy chủ lật đổ
- 26. psycopg2 ngắt kết nối khỏi máy chủ
- 27. TortoiseSVN qua tập lệnh proxy
- 28. AnkhSVN không thể kết nối Do Proxy
- 29. Máy chủ proxy HTTP Java
Tôi nghĩ rằng nó không bị trùng lặp với http://stackoverflow.com/questions/22937983/how-to-use-socks-5-proxy-with-apache-http-client-4 – Uri