Portál AbcLinuxu, 6. června 2025 10:13


Dotaz: Detekce HTTPS proxy webserverem

25.10.2017 19:42 Yack
Detekce HTTPS proxy webserverem
Přečteno: 682×
Odpovědět | Admin
Dobrý den, měl bych otázku. V práci máme nějaký firewall s proxy serverem, který kontroluje všechen provoz včetně HTTPS (firewall dešifruje a předává dál podepsané fake CA). Zajímalo by mě - je možné tohle chování nějak detekovat na straně webserveru (Apache)? Prostě jestli může nějak poznat že se baví s proxy a ne s cílovým klientem, a třeba to přes nějakou proměnnou předat PHP stránce, která ukáže varování že někdo po cestě dělá MITM.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

vencour avatar 25.10.2017 21:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Detekce HTTPS proxy webserverem
Odpovědět | | Sbalit | Link | Blokovat | Admin
V principu analýzou provozu, buď podle zdrojové IP adresy nebo podle toho, jak se identifikuje klient v user agentovi proti serveru.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
25.10.2017 22:43 t
Rozbalit Rozbalit vše Re: Detekce HTTPS proxy webserverem
Odpovědět | | Sbalit | Link | Blokovat | Admin
Napadá mě nasadit HPKP a pak v javascriptu poslat požadavek a zkontrolovat, že z odpovědi ty hlavičky nikdo nezahodil.
25.10.2017 22:47 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Detekce HTTPS proxy webserverem
Odpovědět | | Sbalit | Link | Blokovat | Admin
Bezpečně se to dá poznat tak, že server bude vyžadovat přihlášení klientským certifikát – to ta MitM proxy podvrhnout nedokáže (pokud jí tedy klient neposkytne svůj privátní klíč). Jinak se to spolehlivě poznat nedá – kdyby bylo možné nějak jinak spolehlivě rozpoznat MitM útok, nepotřebujeme certifikáty.

Odhadovat by se to dalo třeba podle sady protokolů a šifer, které klient podporuje, protože bude nejspíš jiná u MitM proxy a u skutečného klienta. A pak bych taky docela věřil tomu, že ta MitM proxy bude špatně validovat certifikáty, takže přes ní projde i certifikát, který by prohlížeč odmítl. Zkusil bych třeba certifikát s SHA-1 podpisem, prošlý certifikát nebo odvolaný certifikát. A také by mne vůbec nepřekvapilo, kdyby si ta MitM proxy neporadila s HTTP/2 nebo s WebSocketem.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.