Domanda:
Quali usi legittimi hanno i proxy del browser?
Mike Ounsworth
2018-07-06 20:04:32 UTC
view on stackexchange narkive permalink

L'unica volta che ho utilizzato le impostazioni proxy del mio browser è stata durante la configurazione di Burp Pro, il che mi fa chiedere:

Qual era il caso d'uso originale di queste impostazioni? Oltre a test / debug, per cosa è stata progettata questa funzionalità? Le persone lo usano effettivamente in natura per il filtraggio dei contenuti aziendali, il controllo degli accessi, ecc.?

(Nota: sono meno interessato a Tor o ad altre tecnologie di anonimizzazione; sono più interessato alle infrastrutture tradizionali / originali intento progettuale)

Come riferimento, sto parlando di queste impostazioni:

Firefox proxy settings page

Lo usavo per aggirare il firewall della mia scuola quando ero un bambino per guardare un pron in biblioteca
Personalmente ho trovato conveniente le poche volte che ho voluto eseguire il proxy di un browser su un sistema di sviluppo ma non su un altro browser.Non ho idea di quale fosse il caso d'uso originale.
la mia azienda utilizza proxy per il filtraggio dei contenuti, quindi sì, vengono utilizzati in natura.
Li ho usati in una casa per studenti in cui un solo computer era connesso a Internet (dialup) e molti di noi volevano accedere a Internet: imposta quello connesso come proxy HTTP e tutti gli altri potevano navigare contemporaneamente.
Stai chiedendo perché si vorrebbe navigare attraverso un proxy o stai chiedendo perché ci sono impostazioni specifiche del programma nel browser (invece di usare solo il proxy di sistema)?
@Bergi Sì a tutto quanto sopra.Perché questa funzionalità esiste (a livello di browser o di sistema)?Forse è un artefatto di me che ho meno di 30 anni, ma non ho mai usato questa funzione in vita mia, quindi mi chiedo perché esiste.
Potresti voler modificare la formulazione, il modo in cui è presentato sembra opporsi a Tor e non nefasto, aggravando il problema delle persone che vedono la conservazione della privacy come una cosa intrinsecamente negativa.
@user36303 Wow, le persone sono davvero permalose a riguardo, eh?Per evitare l'argomento, ho rimosso la parola.
Grazie mille.E sì, alcune persone sono molto consapevoli della costante normalizzazione del meme "la privacy è sbagliata".Permaloso se vuoi.Trovo che aiuti se, per amor di discussione, sostituisci la "privacy" con, diciamo, un'altra libertà che ti piace di più, e pensi a cosa penseresti se le persone esprimessero quella libertà in termini dispregiativi.Questo è il momento in cui ti rendi conto che vale la pena sottolineare questi casi, poiché le persone spesso non si rendono conto che stanno cadendo in quella trappola della normalizzazione.
Oh, sono consapevole dei problemi di privacy, ma ho inserito esplicitamente le parole "non nefasto" per evitare risposte come "I proxy servono per ottenere contenuti Netflix da altri paesi" (e anche così, c'è una risposta eliminata come questasotto).Devi ammettere che sebbene non tutti gli usi della tecnologia di anonimizzazione siano nefasti, ci sono sicuramente molti usi nefasti.
Questa domanda sembra piuttosto ampia, dal momento che vedo che i proxy vengono utilizzati per tantissime ragioni.Uno non ancora menzionato è quello di controllare il routing in un ufficio internazionale, ovvero si seleziona il proxy di una filiale per vedere Internet come se si stesse utilizzando la loro connessione.
Sì, ammetterò prontamente che anche le persone con intenti nefasti amano la privacy :)
Esistono centinaia di casi d'uso per l'utilizzo di proxy, dall'utilizzo di reti aziendali, router UTM, tunneling su SSH, crittografia DNS / servizi DNS sicuri, ecc.
@JW0914 Sono sicuro che ci sono centinaia di applicazioni, ma nei miei 25 anni in cui sono stato "un ragazzo di computer" non ne ho mai incontrata nessuna, da qui la domanda :) sentiti libero di postare una risposta.
@MikeOunsworth Ne ho elencati alcuni nel mio commento ... I commenti non sono intesi come risposte a tutti gli effetti alle domande.Ci sono diversi utenti che hanno pubblicato risposte ben scritte che hanno ampliato i motivi, altrimenti anche il motore di ricerca preferito sarebbe un ottimo sbocco ([DuckDuckGo] (https://duckduckgo.com/?q=purpose+of+browser+proxies&atb=v117-1 & ia = web) / [Google] (https://www.google.com/search?source=hp&ei=1RNEW5GdK4ngjwTwq7vICA&q=purpose+of+browser+proxies&oq=purpose+of+browser+proxies&gs_l=psy-ab.3 ...5985.5985.0.6536.1.1.0.0.0.0.0..0.0 .... 0 ... 1.1.64.psy-ab..1.0.0 .... 0.y9H3dKsOfuo))
@JW0914 Grazie per i link costruttivi piuttosto che sass.
Sei risposte:
Steffen Ullrich
2018-07-06 20:21:06 UTC
view on stackexchange narkive permalink

Uno dei primi utilizzi dei proxy HTTP era il caching dei proxy per fare un uso migliore della costosa larghezza di banda e per velocizzare la navigazione memorizzando nella cache i contenuti molto utilizzati vicino all'utente. Ricordo un tempo in cui gli ISP utilizzavano proxy obbligatori espliciti per gli utenti. Questo accadeva in un momento in cui la maggior parte dei contenuti su Internet era statica e non specifica per l'utente e quindi la memorizzazione nella cache era molto efficace. Ma anche molti anni dopo proxy trasparenti (cioè nessuna configurazione esplicita necessaria) erano ancora utilizzati nelle reti mobili.

Un altro caso d'uso importante e iniziale sono i proxy nelle aziende. Questi vengono utilizzati per limitare l'accesso e sono ancora utilizzati per la memorizzazione nella cache del contenuto. Mentre molti firewall perimetrali impiegano proxy trasparenti dove non è necessaria alcuna configurazione, i gateway Web sicuri classici di solito hanno almeno la capacità di richiedere un accesso proxy esplicito (non trasparente). Di solito non tutto il traffico viene inviato tramite il proxy, ovvero il traffico interno viene solitamente escluso con una configurazione esplicita o utilizzando un file PAC che definisce il proxy a seconda dell'URL di destinazione. Un proxy comunemente utilizzato in quest'area è il proxy Squid gratuito che fornisce ACL estesi, cache distribuita, autenticazione, ispezione del contenuto, intercettazione SSL ecc.

L'utilizzo di un proxy esplicito per il filtraggio ha il vantaggio che può essere richiesta l'autenticazione in banda rispetto al proxy, ovvero l'identificazione dell'utente tramite nome utente anziché indirizzo IP di origine. Un altro vantaggio è che la connessione dal client termina al proxy, e il proxy quindi inoltra la richiesta al server fornita nella richiesta proxy HTTP solo se il controllo ACL va bene e forse dopo aver riscritto parti della richiesta (come assicurarsi che l'intestazione Host corrisponde effettivamente all'host di destinazione). Contrariamente a ciò in inline-IDS / IPS (che è la tecnologia di base in molti NGFW) l'impostazione della connessione dal client è già inoltrata al server finale e i controlli ACL vengono eseguiti in base all'intestazione Host , che potrebbe o meno corrispondere all'indirizzo IP a cui il client si connette. Questo viene effettivamente utilizzato da alcune comunicazioni C2 del malware per aggirare il blocco o il rilevamento rivendicando un host autorizzato nell'intestazione Host ma avendo in realtà un target diverso come indirizzo IP.

@MikeOunsworth Può valere la pena ricordare che ci sono un paio di estensioni del browser (Foxy Proxy, Switchy Omega, ecc.) Che ti consentono di impostare le impostazioni del proxy basate su regole.Posso impostare i nomi host privati (`* .lan.example.com`) per eseguire attraverso un proxy alla loro rete mentre altre connessioni utilizzano le impostazioni predefinite.
In passato usavamo i proxy per rallentare le connessioni LAN dal desktop al server in modo che i progettisti potessero vedere i siti web che stavano costruendo alla velocità del modem.Questo accadeva ai tempi in cui il 56.6 era considerato ad alta velocità.Nessun designer lo ha mai preso molto sul serio.
@Michael: Del resto, puoi farlo senza un'estensione se conosci abbastanza JS per scrivere un file [proxy auto-config] (https://en.wikipedia.org/wiki/Proxy_auto-config) di base.
@IlmariKaronen Oh, pulito.Non ne avevo mai sentito parlare.Sembra molto semplice.
AndyMac
2018-07-06 20:15:18 UTC
view on stackexchange narkive permalink

Alcuni esempi come segue:

  • Per abilitare una regola firewall come "server proxy a qualsiasi destinazione su 80, 443" invece che da "qualsiasi interno a qualsiasi esterno"
  • Per monitorare tutti i siti web visitati tramite i log
  • Per controllare, limitare, filtrare i siti web visitati applicando regole - questi potrebbero essere elenchi di siti approvati, siti nella lista nera, categorie di contenuti ecc
  • A imporre l'autenticazione dell'utente per utilizzare Internet, ad es limitando a utenti di dominio, detentori di certificati
  • Potresti avere punti di uscita separati per contesti diversi se sei su VPN, in ufficio locale, su workstation, su un server
Sembra una caratteristica di un coltellino svizzero.È il motivo per cui non ho mai dovuto usarlo nella mia vita perché altre tecnologie hanno preso il suo posto, come configurazioni di router più potenti, essere reindirizzati a una pagina di accesso wifi, ecc.?
Di solito il traffico di rete verrà instradato tramite il proxy anziché la necessità di una configurazione del browser locale.Uno svantaggio della configurazione locale è che devi cambiarla a seconda dell'ambiente in cui ti trovi. Di solito ora tutto è invisibile per te.Tuttavia, se installi TOR, puoi utilizzare una configurazione proxy del browser locale per instradare il traffico attraverso di esso in modo che ci siano ancora usi correnti legittimi.
david
2018-07-07 03:26:06 UTC
view on stackexchange narkive permalink

Per la ragione "originale", ripensa al 1993, quando fu rilasciato Netscape 0.9. Aveva una finestra di dialogo Opzioni "Posta e proxy" (secondo una copia del manuale). A quel tempo, la maggior parte dei collegamenti Internet erano linee T1 a 56 kbit o frazionarie tra i campus universitari e il governo. C'erano diversi modi in cui un proxy HTTP poteva aiutare o addirittura essere richiesto:

  • Il browser web poteva essere su una LAN TCP / IP senza instradamento (a livello IP) a Internet, ma con un host dual-homed su quella LAN e su Internet. L'host dual-homed potrebbe eseguire un servizio proxy HTTP e un servizio proxy DNS, consentendo ai client sulla LAN di accedere al Web. (Tieni presente che le RFC che descrivono gli intervalli di indirizzi privati ​​standard e NAT, RFC 1597 e RFC 1631, non sono state pubblicate fino a marzo e maggio 1994.)
  • Anche se la LAN aveva indirizzi instradabili, o anche dopo l'implementazione del NAT, la larghezza di banda off-site era probabilmente molto inferiore alla larghezza di banda locale tra i client e una potenziale posizione proxy. Finché i client stavano esplorando una quantità significativa dello stesso contenuto, statico o che cambiava lentamente, il proxy ha migliorato le cose per i client (restituendo rapidamente il contenuto memorizzato nella cache) e per l'operatore di rete (liberando larghezza di banda per altri funzioni di rete o riducendo i costi per l'utilizzo dei dati quando la fatturazione era per pacchetto o per byte).
  • Se un numero sufficiente di utenti finali si trovava dietro i proxy, avrebbe eliminato quello che 10 anni dopo sarebbe stato chiamato " Effetto Slashdot ": i server di origine per contenuti popolari in tutto il mondo dovrebbero servirlo solo a ciascun proxy, non a ciascun utente finale.

Ovviamente, inviare anche tutto il traffico HTTP tramite un processo designato rende questo processo un buon punto di controllo per l'applicazione della politica di sicurezza: filtraggio per parole chiave nel corpo di richiesta o risposta (decodificato); consentire l'accesso solo agli utenti che si autenticano al proxy; registrazione.

Sì, ci sono organizzazioni che "inviano" una policy proxy ai dispositivi degli utenti finali che controllano e la applicano mediante una policy restrittiva ai router di confine.

Nota inoltre che anche se pensi di stai navigando su una rete "pulita", il tuo traffico potrebbe passare attraverso un proxy; vedi ad esempio il Proxy trasparente con Linux e Squid mini-HOWTO.

Ma è vero che un proxy configurato in modo esplicito può dare pochi vantaggi o addirittura peggiorare la navigazione negli odierni Internet. Quando siti Web popolari utilizzano CDN e la maggior parte dei contenuti è dinamica, e anche il contenuto che sembra possa essere memorizzato nella cache (come i riquadri di Google Maps e i dati dei video di Youtube) varia in base alla versione del browser, al sistema operativo, alle dimensioni dello schermo o persino a un cookie casuale significava renderlo non memorizzabile nella cache, la memorizzazione nella cache consente di risparmiare poca larghezza di banda per una cache vicino all'utente finale (sebbene i server di origine spesso abbiano delle cache davanti). Per il contenuto non memorizzabile nella cache, un'altra cache aggiunge RTT a ogni richiesta, rendendo la navigazione più lenta.

Si noti tuttavia che le cache HTTP erano raramente sufficienti per evitare il cosiddetto "/. Effect".Potrebbero diminuirlo leggermente.Si noti inoltre che all'epoca * estremamente * pochi siti Web non finanziari erano in HTTPS (anche Webmail era principalmente in HTTP), consentendo l'intercettazione di quasi tutti gli accessi Web.
Xander
2018-07-06 20:17:55 UTC
view on stackexchange narkive permalink

Sì, sono spesso utilizzati nel mondo aziendale. Forse meno ora che in passato, ma anni fa erano comunemente l'unico gateway da una rete locale a Internet. In molti casi solo alcuni utenti del dominio erano persino autorizzati ad accedere a Internet e un server proxy come ISA sarebbe stato configurato sul confine della rete e gli utenti avrebbero dovuto autenticarsi per attraversarlo.

Oltre a limitare semplicemente chi poteva accedere a Internet, questo è stato effettivamente utilizzato per il filtraggio dei contenuti, l'ispezione dei contenuti e il reporting su chi trascorreva tutto il tempo lavorativo alla ricerca di nuovi lavori su Monster.com. C'erano anche altre funzioni non correlate alla sicurezza, come la memorizzazione nella cache. 20 anni fa non era raro avere centinaia o addirittura diverse migliaia di persone in una struttura connessa a Internet utilizzando un tubo relativamente piccolo come un T-3 frazionario o addirittura un T-1. È stato molto utile essere in grado di memorizzare nella cache i contenuti al limite della rete locale, in modo che la larghezza di banda molto limitata del mondo esterno non fosse saturata da richieste ripetute per le stesse risorse.

Chris H
2018-07-09 13:47:43 UTC
view on stackexchange narkive permalink

L'accesso alle riviste accademiche è spesso limitato e talvolta parte della restrizione è l'indirizzo IP. Utilizzando il server proxy della mia università (che richiedeva un login valido) ho potuto accedere alle riviste mentre lavoravo da casa (passato solo perché non l'ho provato per un paio di anni). Potrei impostarlo solo per i siti Web degli editori di riviste o utilizzare un'estensione di commutazione proxy in Firefox.

In thoery avrei potuto utilizzare la VPN universitaria, ma quella qui richiede un programma client che non funziona su Linux (figuriamoci sul mio Chromebook). Una VPN precedente richiedeva molte regole di impostazione in un'interfaccia utente stupida per far funzionare le cose di base (come qualsiasi email non gestita da loro).

rackandboneman
2018-07-09 15:10:54 UTC
view on stackexchange narkive permalink

Inoltre, esistono casi d'uso per controllare il traffico HTTP non browser :

Le funzionalità di aggiornamento automatico e "telefonare a casa" nelle applicazioni desktop possono essere in una certa misura controllato consentendo ai browser web effettivi e basati su carne di utilizzare un proxy meno restrittivo di quanto consentito dall'infrastruttura di rete per impostazione predefinita.

Allo stesso modo, i server possono essere controllati: sebbene ci siano alcuni processi su un server che creano traffico di uscita http legittimo, è probabile che consentire a tutti i dati di uscita http di essere più utile per qualcuno che tenta di hackerare / sabotare il server. Inoltre, spesso ha senso documentare tutto il traffico in uscita dal server (cosa che può fare un proxy).

Inoltre, le reti a larghezza di banda ridotta (es. Satphone o umts) che devono conservare la larghezza di banda spesso utilizza proxy per ricodificare immagini di grandi dimensioni e altri contenuti multimediali che non saranno utili nel formato ad alta risoluzione e ad alto traffico, specialmente sui dispositivi mobili.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...