y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès
externe vers Internet, et ne laissent qu'un proxy web pour l'accès web
n'autorisant pas la méthode HTTP CONNECT ?
En effet, cette méthode, même si on peut la brider pour qu'elle ne
soit accepté que vers un port (pour http sur ssl par exemple) permet
quand même de sacrément s'amuser. Je sais, la seule présence d'un port
de sorti ouvert permet de s'amuser, mais ma question ne porte que sur
le refus ou pas d'un proxy avec HTTP CONNECT par les administrateurs
de réseaux importants ou moyens.
Dans le cas où cette méthode est bridée, comment les administrateurs
systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès
vers ces sites est pûrement impossible ?
En vous remerciant d'avance pour vos réponses.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet
Un peu de zic pour se détendre ? http://julien.robinson.free.fr
---------------------------------------------------------------------------
Archives FTP de fr.usenet.reponses ftp://ftp.alea.net/pub/usenet/docfr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Etienne de Tocqueville
Vincent Hiribarren a écrit sur fr.comp.securite :
y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès externe vers Internet, et ne laissent qu'un proxy web pour l'accès web n'autorisant pas la méthode HTTP CONNECT ?
C'est le cas chez mon employeur.
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser,
Dans ce genre de cas, il n'y a pas un seul port ouvert !
mais ma question ne porte que sur le refus ou pas d'un proxy avec HTTP CONNECT par les administrateurs de réseaux importants ou moyens.
Mon employeur a un réseau important.
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Aucune idée, mais ça passe forcément par le proxy, puisque c'est le seul moyen d'accéder à internet...
Vincent Hiribarren <vynce@alea.invalid> a écrit sur fr.comp.securite :
y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès
externe vers Internet, et ne laissent qu'un proxy web pour l'accès web
n'autorisant pas la méthode HTTP CONNECT ?
C'est le cas chez mon employeur.
En effet, cette méthode, même si on peut la brider pour qu'elle ne
soit accepté que vers un port (pour http sur ssl par exemple) permet
quand même de sacrément s'amuser. Je sais, la seule présence d'un port
de sorti ouvert permet de s'amuser,
Dans ce genre de cas, il n'y a pas un seul port ouvert !
mais ma question ne porte que sur le refus ou pas d'un proxy avec HTTP
CONNECT par les administrateurs de réseaux importants ou moyens.
Mon employeur a un réseau important.
Dans le cas où cette méthode est bridée, comment les administrateurs
systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès
vers ces sites est pûrement impossible ?
Aucune idée, mais ça passe forcément par le proxy, puisque c'est le seul
moyen d'accéder à internet...
y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès externe vers Internet, et ne laissent qu'un proxy web pour l'accès web n'autorisant pas la méthode HTTP CONNECT ?
C'est le cas chez mon employeur.
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser,
Dans ce genre de cas, il n'y a pas un seul port ouvert !
mais ma question ne porte que sur le refus ou pas d'un proxy avec HTTP CONNECT par les administrateurs de réseaux importants ou moyens.
Mon employeur a un réseau important.
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Aucune idée, mais ça passe forcément par le proxy, puisque c'est le seul moyen d'accéder à internet...
Xavier Roche
Vincent Hiribarren wrote:
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser
En fait, le pire est d'avoir un réseau avec port 80 "ouvert" mais redirigé vers un proxy transparent. Ca, c'est la merde, si je puis me permettre, car on ne peut plus tricher, par exemple en installant un ssh sur :80 ou un VPN sur :80 à l'exterieur (*)
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ?
Cela me parait impossible en gardant une sécurité acceptable, le point à point (TCP) étant la seule solution pour assurer un échange de certificats ; ce qui est réalisé par la méthode CONNECT.
On peut imaginer un système de proxy HTTPS transparent entre les deux, avec certificat qui va bien, mais je me dit que cette solution est vraiment énormément sale.
(*) Bon, en fait, même là, on peut mettre en place des solutions "à la rambo", comme par exemple ce magnifique Vpn sur HTTP: <http://freshmeat.net/projects/htun/>
Vincent Hiribarren wrote:
En effet, cette méthode, même si on peut la brider pour qu'elle ne
soit accepté que vers un port (pour http sur ssl par exemple) permet
quand même de sacrément s'amuser. Je sais, la seule présence d'un port
de sorti ouvert permet de s'amuser
En fait, le pire est d'avoir un réseau avec port 80 "ouvert" mais
redirigé vers un proxy transparent. Ca, c'est la merde, si je puis me
permettre, car on ne peut plus tricher, par exemple en installant un ssh
sur :80 ou un VPN sur :80 à l'exterieur (*)
Dans le cas où cette méthode est bridée, comment les administrateurs
systèmes permettent l'accès vers les sites "https" ?
Cela me parait impossible en gardant une sécurité acceptable, le point à
point (TCP) étant la seule solution pour assurer un échange de
certificats ; ce qui est réalisé par la méthode CONNECT.
On peut imaginer un système de proxy HTTPS transparent entre les deux,
avec certificat qui va bien, mais je me dit que cette solution est
vraiment énormément sale.
(*) Bon, en fait, même là, on peut mettre en place des solutions "à la
rambo", comme par exemple ce magnifique Vpn sur HTTP:
<http://freshmeat.net/projects/htun/>
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser
En fait, le pire est d'avoir un réseau avec port 80 "ouvert" mais redirigé vers un proxy transparent. Ca, c'est la merde, si je puis me permettre, car on ne peut plus tricher, par exemple en installant un ssh sur :80 ou un VPN sur :80 à l'exterieur (*)
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ?
Cela me parait impossible en gardant une sécurité acceptable, le point à point (TCP) étant la seule solution pour assurer un échange de certificats ; ce qui est réalisé par la méthode CONNECT.
On peut imaginer un système de proxy HTTPS transparent entre les deux, avec certificat qui va bien, mais je me dit que cette solution est vraiment énormément sale.
(*) Bon, en fait, même là, on peut mettre en place des solutions "à la rambo", comme par exemple ce magnifique Vpn sur HTTP: <http://freshmeat.net/projects/htun/>
Snow Star
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser, mais ma question ne porte que sur le refus ou pas d'un proxy avec HTTP CONNECT par les administrateurs de réseaux importants ou moyens.
La méthode HTTP CONNECT autorise une connexion TCP directe entre le client et une machine externe. Le brider sur le port 443 est une faible barrière, on peut aussi limiter la durée des connexions. Quand le proxy autorise cette méthode, il est possible de configurer une machine externe et d'y accéder à travers le proxy en créant un tunnel SSH par exemple.
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Quand la méthode est interdite, l'accès HTTP/S ne fonctionne pas. Le principe du HTTP/S repose sur une connexion cryptée entre le client et le serveur distant, d'où la nécessité d'une connexion directe (ie les données qui transitent ne peuvent pas être interprêtées par un élément intermédiaire).
A+
En effet, cette méthode, même si on peut la brider pour qu'elle ne
soit accepté que vers un port (pour http sur ssl par exemple) permet
quand même de sacrément s'amuser. Je sais, la seule présence d'un port
de sorti ouvert permet de s'amuser, mais ma question ne porte que sur
le refus ou pas d'un proxy avec HTTP CONNECT par les administrateurs
de réseaux importants ou moyens.
La méthode HTTP CONNECT autorise une connexion TCP directe entre le
client et une machine externe. Le brider sur le port 443 est une faible
barrière, on peut aussi limiter la durée des connexions.
Quand le proxy autorise cette méthode, il est possible de configurer une
machine externe et d'y accéder à travers le proxy en créant un tunnel
SSH par exemple.
Dans le cas où cette méthode est bridée, comment les administrateurs
systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès
vers ces sites est pûrement impossible ?
Quand la méthode est interdite, l'accès HTTP/S ne fonctionne pas.
Le principe du HTTP/S repose sur une connexion cryptée entre le client
et le serveur distant, d'où la nécessité d'une connexion directe (ie les
données qui transitent ne peuvent pas être interprêtées par un élément
intermédiaire).
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser, mais ma question ne porte que sur le refus ou pas d'un proxy avec HTTP CONNECT par les administrateurs de réseaux importants ou moyens.
La méthode HTTP CONNECT autorise une connexion TCP directe entre le client et une machine externe. Le brider sur le port 443 est une faible barrière, on peut aussi limiter la durée des connexions. Quand le proxy autorise cette méthode, il est possible de configurer une machine externe et d'y accéder à travers le proxy en créant un tunnel SSH par exemple.
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Quand la méthode est interdite, l'accès HTTP/S ne fonctionne pas. Le principe du HTTP/S repose sur une connexion cryptée entre le client et le serveur distant, d'où la nécessité d'une connexion directe (ie les données qui transitent ne peuvent pas être interprêtées par un élément intermédiaire).
A+
Sylvain Eche
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Salut
Mon employeur aussi bride la méthode connect pour éviter les tunnels ssh. d'abord sur les ports n'autorisant que le 443 (https) et également sur les adresses ip avec une white list d'adresse ip acceptées. c'est le seul moyen d'empécher la connexion à un démon ssh servant de port forwarding sur le port 443 qui tournerait sur ma machine perso.
Pour la mise en place de la white list : tu essaies de trouver des listes toutes faites avec les principales banques françaises et les sites de ecommerce et ensuite tu renvoies un pages pour les autres site https qui offre un formulaire de demande de whitelistage du site.
Remarque : cela ne fait que compliquer la tache à l'utilisateur qui voudrait frauder : un tunnel http est tout aussi facile à mettre en oeuvre (ex soft httport client et serveur) et la bonjour pour détecter ça mis à part des études statistiques sur les connexions mais j'ai jamais vu ca en pratique. et puis y a aussi le tunnel DNS qui bien que peut performant marche.
Dans le cas où cette méthode est bridée, comment les administrateurs
systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès
vers ces sites est pûrement impossible ?
Salut
Mon employeur aussi bride la méthode connect pour éviter les tunnels ssh.
d'abord sur les ports n'autorisant que le 443 (https) et également sur
les adresses ip avec une white list d'adresse ip acceptées.
c'est le seul moyen d'empécher la connexion à un démon ssh servant de
port forwarding sur le port 443 qui tournerait sur ma machine perso.
Pour la mise en place de la white list : tu essaies de trouver des
listes toutes faites avec les principales banques françaises et les
sites de ecommerce et ensuite tu renvoies un pages pour les autres site
https qui offre un formulaire de demande de whitelistage du site.
Remarque : cela ne fait que compliquer la tache à l'utilisateur qui
voudrait frauder : un tunnel http est tout aussi facile à mettre en
oeuvre (ex soft httport client et serveur) et la bonjour pour détecter
ça mis à part des études statistiques sur les connexions mais j'ai
jamais vu ca en pratique.
et puis y a aussi le tunnel DNS qui bien que peut performant marche.
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Salut
Mon employeur aussi bride la méthode connect pour éviter les tunnels ssh. d'abord sur les ports n'autorisant que le 443 (https) et également sur les adresses ip avec une white list d'adresse ip acceptées. c'est le seul moyen d'empécher la connexion à un démon ssh servant de port forwarding sur le port 443 qui tournerait sur ma machine perso.
Pour la mise en place de la white list : tu essaies de trouver des listes toutes faites avec les principales banques françaises et les sites de ecommerce et ensuite tu renvoies un pages pour les autres site https qui offre un formulaire de demande de whitelistage du site.
Remarque : cela ne fait que compliquer la tache à l'utilisateur qui voudrait frauder : un tunnel http est tout aussi facile à mettre en oeuvre (ex soft httport client et serveur) et la bonjour pour détecter ça mis à part des études statistiques sur les connexions mais j'ai jamais vu ca en pratique. et puis y a aussi le tunnel DNS qui bien que peut performant marche.
Vincent Hiribarren
Etienne de Tocqueville <et+ writes:
Vincent Hiribarren a écrit sur fr.comp.securite :
y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès externe vers Internet, et ne laissent qu'un proxy web pour l'accès web n'autorisant pas la méthode HTTP CONNECT ?
C'est le cas chez mon employeur. [...] Mon employeur a un réseau important.
Merci, s'il y a d'autres exemples, ça m'intéresse.
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser,
Dans ce genre de cas, il n'y a pas un seul port ouvert !
Mais si mais si, un tunnel sur du HTTP classique transitant via le proxy peut faire des miracles, et pas besoin forcément d'avoir un serveur à soi derrière, certaines entreprises offrent un passage vers leurs serveur avec leur logiciel client pour une bande passante faible (quelques kilo octets).
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Aucune idée, mais ça passe forcément par le proxy, puisque c'est le seul moyen d'accéder à internet...
Les différentes techniques possibles d'accès à des serveurs "https" via un proxy web qui n'autorise pas la méthode HTTP CONNECT m'intéressent.
D'après ce que tu indiques, et en se basant sur ce qu'à présenté M. Eche, ton réseau à l'air d'autoriser le HTTP CONNECT mais uniquement vers certains sites, sinon je ne vois pas comment. Ou alors tu as un proxy SSL configuré quelque part.
Si ça n'est pas ça, et que d'autres ont des idées sur d'autres moyens de procéder, ça m'intéresse.
-- Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet Un peu de zic pour se détendre ? http://julien.robinson.free.fr --------------------------------------------------------------------------- Archives FTP de fr.usenet.reponses ftp://ftp.alea.net/pub/usenet/docfr
Etienne de Tocqueville <et+news@steph.teaser.fr> writes:
Vincent Hiribarren <vynce@alea.invalid> a écrit sur fr.comp.securite :
y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès
externe vers Internet, et ne laissent qu'un proxy web pour l'accès web
n'autorisant pas la méthode HTTP CONNECT ?
C'est le cas chez mon employeur. [...]
Mon employeur a un réseau important.
Merci, s'il y a d'autres exemples, ça m'intéresse.
En effet, cette méthode, même si on peut la brider pour qu'elle ne
soit accepté que vers un port (pour http sur ssl par exemple) permet
quand même de sacrément s'amuser. Je sais, la seule présence d'un port
de sorti ouvert permet de s'amuser,
Dans ce genre de cas, il n'y a pas un seul port ouvert !
Mais si mais si, un tunnel sur du HTTP classique transitant via le
proxy peut faire des miracles, et pas besoin forcément d'avoir un
serveur à soi derrière, certaines entreprises offrent un passage vers
leurs serveur avec leur logiciel client pour une bande passante faible
(quelques kilo octets).
Dans le cas où cette méthode est bridée, comment les administrateurs
systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès
vers ces sites est pûrement impossible ?
Aucune idée, mais ça passe forcément par le proxy, puisque c'est le seul
moyen d'accéder à internet...
Les différentes techniques possibles d'accès à des serveurs "https"
via un proxy web qui n'autorise pas la méthode HTTP CONNECT
m'intéressent.
D'après ce que tu indiques, et en se basant sur ce qu'à présenté
M. Eche, ton réseau à l'air d'autoriser le HTTP CONNECT mais
uniquement vers certains sites, sinon je ne vois pas comment. Ou alors
tu as un proxy SSL configuré quelque part.
Si ça n'est pas ça, et que d'autres ont des idées sur d'autres moyens
de procéder, ça m'intéresse.
--
Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet
Un peu de zic pour se détendre ? http://julien.robinson.free.fr
---------------------------------------------------------------------------
Archives FTP de fr.usenet.reponses ftp://ftp.alea.net/pub/usenet/docfr
y-a-t'il beaucoup d'administrateurs systèmes qui brident tout accès externe vers Internet, et ne laissent qu'un proxy web pour l'accès web n'autorisant pas la méthode HTTP CONNECT ?
C'est le cas chez mon employeur. [...] Mon employeur a un réseau important.
Merci, s'il y a d'autres exemples, ça m'intéresse.
En effet, cette méthode, même si on peut la brider pour qu'elle ne soit accepté que vers un port (pour http sur ssl par exemple) permet quand même de sacrément s'amuser. Je sais, la seule présence d'un port de sorti ouvert permet de s'amuser,
Dans ce genre de cas, il n'y a pas un seul port ouvert !
Mais si mais si, un tunnel sur du HTTP classique transitant via le proxy peut faire des miracles, et pas besoin forcément d'avoir un serveur à soi derrière, certaines entreprises offrent un passage vers leurs serveur avec leur logiciel client pour une bande passante faible (quelques kilo octets).
Dans le cas où cette méthode est bridée, comment les administrateurs systèmes permettent l'accès vers les sites "https" ? Ou alors l'accès vers ces sites est pûrement impossible ?
Aucune idée, mais ça passe forcément par le proxy, puisque c'est le seul moyen d'accéder à internet...
Les différentes techniques possibles d'accès à des serveurs "https" via un proxy web qui n'autorise pas la méthode HTTP CONNECT m'intéressent.
D'après ce que tu indiques, et en se basant sur ce qu'à présenté M. Eche, ton réseau à l'air d'autoriser le HTTP CONNECT mais uniquement vers certains sites, sinon je ne vois pas comment. Ou alors tu as un proxy SSL configuré quelque part.
Si ça n'est pas ça, et que d'autres ont des idées sur d'autres moyens de procéder, ça m'intéresse.
-- Paumé sur Usenet-Fr ? Un seul site ! http://www.alea.net/usenet Un peu de zic pour se détendre ? http://julien.robinson.free.fr --------------------------------------------------------------------------- Archives FTP de fr.usenet.reponses ftp://ftp.alea.net/pub/usenet/docfr
Etienne de Tocqueville
Sylvain Eche a écrit sur fr.comp.securite :
Mon employeur aussi bride la méthode connect pour éviter les tunnels ssh.
Le httptunnel (hts/htc) n'utilise pas la méthode connect pour créer un tunnel ! Après, on peut mettre ce qu'on veut dedans, y compris un tunnel ssh.
Cela dit, je ne sais pas comment, mais c'est possible d'empécher ce genre de tunnel.
Sylvain Eche <sylvaineche@free.fr> a écrit sur fr.comp.securite :
Mon employeur aussi bride la méthode connect pour éviter les tunnels ssh.
Le httptunnel (hts/htc) n'utilise pas la méthode connect pour créer un
tunnel ! Après, on peut mettre ce qu'on veut dedans, y compris un tunnel
ssh.
Cela dit, je ne sais pas comment, mais c'est possible d'empécher ce
genre de tunnel.
Les différentes techniques possibles d'accès à des serveurs "https" via un proxy web qui n'autorise pas la méthode HTTP CONNECT m'intéressent.
voic kkes liens : http://www.parosproxy.org/index.shtml http://www.owasp.org/software/webscarab.html
Sylvain Eche
Les différentes techniques possibles d'accès à des serveurs "https" via un proxy web qui n'autorise pas la méthode HTTP CONNECT m'intéressent.
Malheureusement il n'y a que la methode connect d'utilisable pour faire du SSL. Il faut bien être concient que le SSL est un protocole de sécurité qui assure le chiffrement l'authentification et l'intégrité. rien qu'en disant ca : la notion de proxy SSL n'a pas de sens puisque cela voudrait dire que le proxy arrive a "comprendre le flux" or il est chiffré !
On voit néanmoins ça et la des proxy SSL qui usurpent les certificats à la volée (il me semble que cela a été discuté il y a kkes temps sur la liste). Pour moi ça n'a pas de sens car le protocole SSL doit rester un protocole de bout en bout. et puis légalement ces proxy trompent en temps réel tout tes utilisateur en falsifiant le certificat. si tu t'y prend bien en mettant la bonne autorité de certification dans le magasin IE de tes utilisateurs ils n'auront meme pas le popup d'avertissement. Je suis pas sur que tes utilisateurs apprécieraient de voir leur comtpe bancaire intercepté par le proxy.
Les différentes techniques possibles d'accès à des serveurs "https"
via un proxy web qui n'autorise pas la méthode HTTP CONNECT
m'intéressent.
Malheureusement il n'y a que la methode connect d'utilisable pour faire
du SSL. Il faut bien être concient que le SSL est un protocole de
sécurité qui assure le chiffrement l'authentification et l'intégrité.
rien qu'en disant ca : la notion de proxy SSL n'a pas de sens puisque
cela voudrait dire que le proxy arrive a "comprendre le flux" or il est
chiffré !
On voit néanmoins ça et la des proxy SSL qui usurpent les certificats à
la volée (il me semble que cela a été discuté il y a kkes temps sur la
liste). Pour moi ça n'a pas de sens car le protocole SSL doit rester un
protocole de bout en bout.
et puis légalement ces proxy trompent en temps réel tout tes utilisateur
en falsifiant le certificat. si tu t'y prend bien en mettant la bonne
autorité de certification dans le magasin IE de tes utilisateurs ils
n'auront meme pas le popup d'avertissement. Je suis pas sur que tes
utilisateurs apprécieraient de voir leur comtpe bancaire intercepté par
le proxy.
Les différentes techniques possibles d'accès à des serveurs "https" via un proxy web qui n'autorise pas la méthode HTTP CONNECT m'intéressent.
Malheureusement il n'y a que la methode connect d'utilisable pour faire du SSL. Il faut bien être concient que le SSL est un protocole de sécurité qui assure le chiffrement l'authentification et l'intégrité. rien qu'en disant ca : la notion de proxy SSL n'a pas de sens puisque cela voudrait dire que le proxy arrive a "comprendre le flux" or il est chiffré !
On voit néanmoins ça et la des proxy SSL qui usurpent les certificats à la volée (il me semble que cela a été discuté il y a kkes temps sur la liste). Pour moi ça n'a pas de sens car le protocole SSL doit rester un protocole de bout en bout. et puis légalement ces proxy trompent en temps réel tout tes utilisateur en falsifiant le certificat. si tu t'y prend bien en mettant la bonne autorité de certification dans le magasin IE de tes utilisateurs ils n'auront meme pas le popup d'avertissement. Je suis pas sur que tes utilisateurs apprécieraient de voir leur comtpe bancaire intercepté par le proxy.
