Question:
Quelles utilisations légitimes les proxys de navigateur ont-ils?
Mike Ounsworth
2018-07-06 20:04:32 UTC
view on stackexchange narkive permalink

La seule fois où j'ai utilisé les paramètres de proxy de mon navigateur, c'est lors de la configuration de Burp Pro, ce qui me fait me demander:

Quel était le cas d'utilisation d'origine de ces paramètres? A part les tests / débogages, à quoi cette fonctionnalité a-t-elle été conçue? Les gens l'utilisent-ils réellement dans la nature pour le filtrage du contenu d'entreprise, le contrôle d'accès, etc.?

(Remarque: je suis moins intéressé par Tor ou d'autres technologies d'anonymisation; je suis plus intéressé par l'infrastructure traditionnelle / originale intention de conception)

Pour référence, je parle de ces paramètres:

Firefox proxy settings page

J'avais l'habitude de l'utiliser pour contourner le pare-feu de mon école quand j'étais enfant pour chercher un pron dans la bibliothèque
Personnellement, je l'ai trouvé pratique les quelques fois où j'ai voulu proxy un navigateur vers un système de développement mais pas un autre navigateur.Aucune idée de ce qu'était le cas d'utilisation d'origine.
mon entreprise utilise des proxys pour le filtrage de contenu, donc oui, ils sont utilisés dans la nature.
Je les ai utilisés dans une maison d'étudiants où un seul ordinateur était connecté à Internet (par ligne commutée) et plusieurs d'entre nous voulaient accéder à Internet - configurez celui connecté comme proxy HTTP, et tout le monde pouvait naviguer en même temps.
Demandez-vous pourquoi on voudrait parcourir un proxy, ou demandez-vous pourquoi il existe des paramètres spécifiques au programme dans le navigateur (au lieu d'utiliser simplement le proxy système)?
@Bergi Oui à tout ce qui précède.Pourquoi cette fonctionnalité existe-t-elle (au niveau du navigateur ou du système)?Peut-être que c'est un artefact de moi ayant moins de 30 ans, mais je n'ai jamais utilisé cette fonctionnalité de ma vie, alors je me demande pourquoi elle existe.
Vous voudrez peut-être modifier le libellé, la façon dont il est présenté semble être opposé à Tor et non néfaste, ce qui aggrave le problème des personnes qui considèrent la préservation de la vie privée comme une mauvaise chose en soi.
@user36303 Wow, les gens sont vraiment sensibles à ce sujet, hein?Pour éviter l'argument, j'ai supprimé le mot.
Merci de bien vouloir.Et oui, certaines personnes sont très conscientes de la normalisation constante du mème «la vie privée est mauvaise».Touchy si vous voulez.Je trouve que cela aide si, pour les besoins de l'argumentation, vous remplacez "la vie privée" par, disons, une autre liberté que vous préférez, et pensez à ce que vous penseriez si les gens exprimaient cette liberté en termes désobligeants.C'est à ce moment que vous réalisez qu'il vaut la peine de signaler ces cas, car les gens ne réalisent souvent pas qu'ils tombent dans ce piège de la normalisation.
Oh, je suis conscient des problèmes de confidentialité, mais j'y ai explicitement mis les mots «non néfastes» pour éviter des réponses telles que «Les procurations servent à obtenir du contenu Netflix d'autres pays» (et même ainsi, il y a une réponse supprimée comme celle-làau dessous de).Vous devez admettre que si toutes les utilisations de la technologie d'anonymisation ne sont pas néfastes, il existe certainement de nombreuses utilisations néfastes.
Cette question semble assez large, car je vois des procurations utilisées pour des tonnes de raisons.Il n'est pas encore mentionné de contrôler le routage dans un bureau international, c'est-à-dire que vous sélectionnez le proxy d'une succursale pour voir Internet comme si vous utilisiez leur connexion.
Oui, j'admettrai volontiers les personnes ayant une intention néfaste comme la vie privée :)
Il existe des centaines de cas d'utilisation pour l'utilisation de proxies, de l'utilisation de réseaux d'entreprise, de routeurs UTM, de tunnellisation sur SSH, de services DNS cryptés / sécurisés, etc.
@JW0914 Je suis sûr qu'il y a des centaines d'applications, mais en 25 ans d'être "un gars de l'informatique" je n'en ai jamais rencontré, d'où la question :) n'hésitez pas à poster une réponse.
@MikeOunsworth J'en ai énuméré quelques-uns dans mon commentaire ... Les commentaires ne sont pas censés être des réponses à part entière aux questions.Il y a plusieurs utilisateurs qui ont publié des réponses bien écrites qui développaient des raisons, sinon le moteur de recherche de choix serait également un excellent débouché ([DuckDuckGo] (https://duckduckgo.com/?q=purpose+of+browser+proxies&atb=v117-1 & ia = web) / [Google] (https://www.google.com/search?source=hp&ei=1RNEW5GdK4ngjwTwq7vICA&q=purpose+of+browser+proxies&oq=purpose+of+browser+proxies&gs_l=psy-ab.3 ...5985.5985.0.6536.1.1.0.0.0.0.0.0..0.0 .... 0 ... 1.1.64.psy-ab..1.0.0 .... 0.y9H3dKsOfuo))
@JW0914 Merci pour les liens constructifs plutôt que sass.
Six réponses:
Steffen Ullrich
2018-07-06 20:21:06 UTC
view on stackexchange narkive permalink

L'une des premières utilisations des proxies HTTP était la mise en cache des proxies afin de mieux utiliser la bande passante coûteuse et d'accélérer la navigation en mettant en cache le contenu très utilisé près de l'utilisateur. Je me souviens d'une époque où les FAI utilisaient des procurations obligatoires explicites pour les utilisateurs. C'était à une époque où la plupart du contenu sur Internet était statique et non spécifique à l'utilisateur et la mise en cache était donc très efficace. Mais même de nombreuses années plus tard, des proxys transparents (c'est-à-dire aucune configuration explicite nécessaire) étaient encore utilisés dans les réseaux mobiles.

Un autre cas d'utilisation majeur et précoce concerne les proxys dans les entreprises. Ceux-ci sont utilisés pour restreindre l'accès et également toujours utilisés pour la mise en cache du contenu. Alors que de nombreux pare-feu de périmètre utilisent des proxys transparents lorsqu'aucune configuration n'est nécessaire, les passerelles Web sécurisées classiques ont généralement au moins la capacité d'exiger un accès proxy explicite (non transparent). Habituellement, tout le trafic n'est pas envoyé via le proxy, c'est-à-dire que le trafic interne est généralement exclu avec une configuration explicite ou en utilisant un fichier PAC qui définit le proxy en fonction de l'URL cible. Un proxy couramment utilisé dans ce domaine est le proxy Squid gratuit qui fournit des ACL étendues, une mise en cache distribuée, une authentification, une inspection de contenu, une interception SSL, etc.

L'utilisation d'un proxy explicite pour le filtrage présente l'avantage qu'une authentification intrabande contre le proxy peut être requise, c'est-à-dire identifier l'utilisateur par son nom d'utilisateur au lieu de l'adresse IP source. Un autre avantage est que la connexion du client se termine au niveau du proxy, et le proxy ne transmet alors la demande au serveur donné dans la demande de proxy HTTP que si la vérification de l'ACL est correcte et peut-être après avoir réécrit des parties de la demande (comme s'assurer que l'en-tête Host correspond en fait à l'hôte cible). Contrairement à cela dans inline-IDS / IPS (qui est la technologie de base dans de nombreux NGFW), la configuration de la connexion du client est déjà transmise au serveur final et les contrôles ACL sont effectués sur la base de l'en-tête Host , qui peut ou non correspondre à l'adresse IP à laquelle le client se connecte. Ceci est en fait utilisé par certaines communications C2 de malware pour contourner le blocage ou la détection en revendiquant un hôte en liste blanche dans l'en-tête Host mais ayant en fait une cible différente comme adresse IP.

@MikeOunsworth Il peut être intéressant de mentionner qu'il existe quelques extensions de navigateur (Foxy Proxy, Switchy Omega, etc.) qui vous permettent de définir des paramètres de proxy basés sur des règles.Je peux définir des noms d'hôtes privés (`* .lan.example.com`) pour qu'ils passent par un proxy vers leur réseau tandis que les autres connexions utilisent les paramètres par défaut.
À l'époque, nous utilisions des proxies pour ralentir les connexions LAN du bureau au serveur afin que les concepteurs puissent découvrir les sites Web qu'ils construisaient à la vitesse du modem.C'était à l'époque où le 56,6 était considéré comme haute vitesse.Aucun créateur n'a jamais pris cela très au sérieux.
@Michael: D'ailleurs, vous pouvez le faire sans extension si vous connaissez suffisamment JS pour écrire un fichier de base [proxy auto-config] (https://en.wikipedia.org/wiki/Proxy_auto-config).
@IlmariKaronen Oh, super.Je n'avais jamais entendu parler de ça.Cela semble très simple.
AndyMac
2018-07-06 20:15:18 UTC
view on stackexchange narkive permalink

Quelques exemples comme suit:

  • Pour activer une règle de pare-feu comme "serveur proxy vers n'importe quelle destination sur 80, 443" au lieu de "n'importe quel interne vers n'importe quel externe"
  • Surveiller tous les sites Web visités via les journaux
  • Pour contrôler, limiter, filtrer les sites Web visités en appliquant des règles - il peut s'agir de listes de sites approuvés, de sites sur liste noire, de catégories de contenu, etc.
  • À appliquer l'authentification de l'utilisateur pour utiliser Internet - par exemple limitation aux utilisateurs de domaine, aux détenteurs de certificats
  • Vous pouvez avoir des points de sortie séparés pour différents contextes si vous êtes sur VPN, dans un bureau local, sur un poste de travail, sur un serveur
Cela ressemble à une fonction de couteau suisse.Est-ce la raison pour laquelle je n'ai jamais eu à l'utiliser de ma vie parce que d'autres technologies ont pris sa place - comme des configurations de routeur plus puissantes, être redirigé vers une page de connexion wifi, etc.?
Habituellement, le trafic réseau sera acheminé via le proxy plutôt que la nécessité d'une configuration de navigateur local.Un inconvénient de la configuration locale est que vous devez la modifier en fonction de l'environnement dans lequel vous vous trouvez. Habituellement, tout est désormais invisible pour vous.Cependant, si vous installez TOR, vous pouvez utiliser une configuration de proxy de navigateur local pour acheminer le trafic à travers celui-ci afin qu'il y ait encore des utilisations actuelles légitimes.
david
2018-07-07 03:26:06 UTC
view on stackexchange narkive permalink

Pour la raison "originale", pensez à 1993, lorsque Netscape 0.9 est sorti. Il avait une boîte de dialogue Options "Mail et Proxies" (d'après une copie du manuel). À cette époque, la plupart des liaisons Internet étaient des lignes T1 à 56 kbit ou fractionnaires entre les campus universitaires et le gouvernement. Un proxy HTTP pouvait aider ou même être requis de plusieurs manières:

  • Le navigateur Web pouvait être sur un LAN TCP / IP sans routage (au niveau IP) vers Internet, mais avec un hôte à double domicile sur ce LAN et sur Internet. L'hôte à double hébergement pourrait exécuter un service de proxy HTTP et un service de proxy DNS, permettant aux clients du réseau local d'accéder au Web. (Notez que les RFC décrivant les plages d'adresses privées standard et NAT, RFC 1597 et RFC 1631, n'ont été publiées qu'en mars et mai 1994.)
  • Même si le LAN avait des adresses routables, ou même après le déploiement de NAT, la bande passante hors site était probablement bien inférieure à la bande passante locale entre les clients et un emplacement proxy potentiel. Tant que les clients parcouraient une quantité significative du même contenu, statique ou changeant lentement, le proxy améliorait les choses pour les clients (en renvoyant rapidement le contenu mis en cache) ainsi que pour l'opérateur réseau (en libérant de la bande passante pour d'autres des fonctions réseau, ou la réduction des frais d'utilisation des données lorsque la facturation était par paquet ou par octet).
  • Si suffisamment d'utilisateurs finaux étaient derrière les proxys, cela prenait l'avantage sur ce que 10 ans plus tard on appellera le " Effet slashdot ": les serveurs d'origine du contenu populaire dans le monde entier n'auraient qu'à le diffuser à chaque proxy, pas à chaque utilisateur final.

Bien sûr, envoyer tout le trafic HTTP via un processus désigné également fait de ce processus un bon point de contrôle pour l'application de la politique de sécurité: filtrage par mots-clés dans le corps de la demande ou de la réponse (décodée); autoriser l'accès uniquement aux utilisateurs qui s'authentifient auprès du proxy; enregistrement.

Oui, certaines organisations "poussent" une politique de proxy vers les appareils des utilisateurs finaux qu'elles contrôlent et l'appliquent par une politique restrictive aux routeurs frontaliers.

Notez également que même si vous pensez que vous vous naviguez sur un réseau "propre", votre trafic peut passer par un proxy; voir par exemple le Transparent Proxy avec Linux et Squid mini-HOWTO.

Mais il est vrai qu'un proxy explicitement configuré peut donner peu d'avantages ou même aggraver la navigation aujourd'hui L'Internet. Lorsque les sites Web populaires utilisent des CDN et que la plupart du contenu est dynamique, même le contenu qui semble pouvoir être mis en cache (comme les tuiles Google Maps et les données vidéo Youtube) varie en fonction de la version du navigateur, du système d'exploitation, de la taille de l'écran ou même d'un cookie aléatoire destiné à le rendre inaccessible, la mise en cache économise peu de bande passante pour un cache près de l'utilisateur final (bien que les serveurs d'origine aient souvent des caches devant eux). Pour le contenu inaccessible, un autre cache ajoute RTT à chaque requête, ce qui ralentit la navigation.

Notez cependant que les caches HTTP étaient rarement suffisants pour éviter le soi-disant "/. Effet".Ils pourraient très légèrement le diminuer.Notez également qu'à l'époque * extrêmement * peu de sites Web non financiers étaient en HTTPS (même le Webmail était principalement en HTTP), permettant à presque tous les accès Web d'être interceptés.
Xander
2018-07-06 20:17:55 UTC
view on stackexchange narkive permalink

Oui, ils sont fréquemment utilisés dans le monde de l'entreprise. Peut-être moins maintenant que par le passé, mais il y a des années, ils étaient généralement la seule passerelle entre un réseau local et Internet. Dans de nombreux cas, seuls certains utilisateurs de domaine étaient même autorisés à accéder à Internet, et un serveur proxy comme ISA serait configuré à la périphérie du réseau et les utilisateurs devraient s'authentifier pour pouvoir le traverser.

Au-delà de la simple restriction des personnes pouvant accéder à Internet, cela a en effet été utilisé pour le filtrage de contenu, l'inspection du contenu et les rapports sur ceux qui passaient tout leur temps de travail à chercher de nouveaux emplois sur Monster.com. Il y avait également d'autres fonctions non liées à la sécurité, telles que la mise en cache. Il y a 20 ans, il n'était pas rare d'avoir des centaines, voire plusieurs milliers de personnes dans une installation connectée à Internet en utilisant un tuyau relativement petit comme un T-3 fractionnaire, ou même un T-1. Il était très utile de pouvoir mettre en cache du contenu à la périphérie du réseau local afin que la bande passante très limitée du monde extérieur ne soit pas saturée de demandes répétées pour les mêmes ressources.

Chris H
2018-07-09 13:47:43 UTC
view on stackexchange narkive permalink

L'accès aux revues académiques est souvent restreint, et parfois une partie de la restriction est l'adresse IP. En utilisant le serveur proxy de mon université (qui nécessitait une connexion valide), je pouvais accéder aux journaux tout en travaillant à domicile (passé uniquement car je ne l'ai pas essayé depuis quelques années). Je pourrais le configurer uniquement pour les sites Web des éditeurs de revues ou utiliser une extension de commutation de proxy dans Firefox.

Dans ce cas, j'aurais pu utiliser le VPN universitaire, mais celui-ci nécessite un programme client qui ne fonctionne pas sur Linux (et encore moins sur mon Chromebook). Un VPN précédent nécessitait beaucoup de règles de configuration dans une interface utilisateur stupide pour que les choses de base fonctionnent (comme tout courrier électronique non géré par eux).

rackandboneman
2018-07-09 15:10:54 UTC
view on stackexchange narkive permalink

De plus, il existe des cas d'utilisation pour contrôler le trafic HTTP non-navigateur :

Les fonctionnalités de mise à jour automatique et de "téléphoner à domicile" dans les applications de bureau peuvent être dans une certaine mesure contrôlé en permettant aux navigateurs Web réels, axés sur la viande, d'utiliser un proxy moins restrictif que ce que l'infrastructure réseau permet par défaut.

De la même manière, les serveurs peuvent être contrôlées - alors que certains processus sur un serveur créent un trafic de sortie http légitime, autoriser toutes les sorties http est probablement plus utile pour quelqu'un qui tente de pirater / saboter le serveur. De plus, il est souvent judicieux de documenter tout le trafic de sortie du serveur (ce qu’un proxy peut faire).

De même, les réseaux à faible bande passante (par exemple, satphone ou umts) qui doivent conserver La bande passante utilise souvent des proxys pour réencoder de grandes images et d'autres contenus multimédias qui ne seront pas utiles dans le format haute résolution et à fort trafic donné, en particulier sur les appareils mobiles.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...