[問答] proxy有這樣運作的嗎?

作者: ltytw (ltytw)   2018-04-03 00:15:02
目前老舊作業系統的瀏覽器一般都不支援tls v1.1以上的協定
了不起就只有支援 tls v1.0 、 ssl v3.0 、 ssl v2.0 而已
這些舊瀏覽器去瀏覽比較新的https網站只會無法顯示網頁
不過是否能讓這些老舊瀏覽器能這樣閃避這些問題呢?
例如我架設一個很特別的proxy伺服器
設定成要使用proxy的客戶端只需要以非安全通訊port(80)連進來
或者是我費功夫一點
直接弄一個網站型的proxy應用服務
這個網站也是運作在http之下
方便老舊瀏覽器客戶端使用這個網站
只要客戶端的老舊瀏覽器使用了這一種的proxy
通吃任何安全通訊協定的網站
例如IE6沒有開啟ssl3.0都能上https的youtube看網頁
流程如以下
客戶端老舊IE6
↑ ↓
(http封包)
↑ ↓
proxy伺服器
(收到來自客戶端請求後把自己裝成是客戶端
(另外用一條新的連線去連https網站索取資料
(要到對方資料並解密之後
(透過http協定轉交給客戶端
(像是把自己當成某種中間人
(左手接過A用https送過來的資料 交給右手再丟給使用http的B
↑ ↓
(https封包)
↑ ↓
https網站主機
大概是像某種中間人的手法?
假想的情況是
客戶端覺得:哇 這個服務超強 不用升級瀏覽器就能看youtube
而https網站主機也不會發覺這有甚麼問題
還是https協定真的就如字面上的意思那樣
蠻安全的?
無法以這種方式亂運作?
作者: alemonmk (單色檸檬子)   2018-04-06 09:50:00
sslstrip 研究一下,bettercap 也有這個功能。
作者: ltytw (ltytw)   2018-04-06 22:57:00
我重新解釋了一下內文看來跟我想的還是不太一樣,或是我內文需要自己開發成一套軟體,才有辦法以 "很服務" 的方式運作,大大提到的是不是比較屬於 "偷資料" 的手法?
作者: deadwood (T_T)   2018-04-15 13:52:00
F5就可以做到嘍,不過價格嘛~~自己寫不是不可能,問題是你有人家那麼多資本可投入開發

Links booklink

Contact Us: admin [ a t ] ucptt.com