Re: Squid transparent ntlm?
On Wed, Jun 26, 2013 at 02:11:08PM +0400, Victor Wagner wrote:
> Какой из доступных нам видов аутентификации позволит одновременно
> аутентифицироваться на прокси и на сайте, если браузер и не подозревает
> что есть какая-то прокси, и думает что все добавленные ей заголовки
> http-ответа идут непосредственно с сайта?
Браузер не обязан считать, что все заголовки идут непосредственно с сайта,
благо коды ответов http для авторизации на прокси и на сайте отличаются:
401 (сайт) и 407 (прокси). Плюс наличие заголовков Proxy-Authorization
и т.п. То есть прозрачная авторизация на прокси и авторизация на сайте
совместимы и технически возможны.
Проблема в другом. Нет механизма аутентифицикации прокси для браузера,
т.е. метода подтвердить, что именно свой, локальный прокси запрашивает
авторизацию. Поэтому браузер не может противостоять элементарной атаке,
когда вредительский сайт выдаёт код 407, т.е. прикидывается локальным
прокси-сервером, чтобы получить юзеровский логин и пароль.
По этой причине все производители браузеров игнорируют код 407 в прямых
ответах, этот код и соотвествующе ему хедеры обрабатываются только для
явно проксируемых соединений.
> А как мы будем https аутентифицировать?
Ситуация аналогична: браузер может отличить ответ с первыми байтами
"HTTP/x.x 407 " от ssl-ного ServerHello, но всё это нахрен не нужно.
--
Eugene Berdnikov
Reply to: