由于各種原因���,在國(guó)內(nèi)上網(wǎng)��,免不了要和HTTP代理服務(wù)器打交道�。HTTP代理服務(wù)器分加密代理服務(wù)器和普通代理服務(wù)器����。如果我們?cè)谧约旱碾娔X上運(yùn)行了某些軟件之后就能訪問(wèn)之前不能訪問(wèn)的網(wǎng)站,那么很可能是加密代理��;如果我們直接在瀏覽器中設(shè)置代理服務(wù)器�,不用運(yùn)行任何軟件����,那么這種類(lèi)型的代理服務(wù)器就是普通代理。一般來(lái)說(shuō)���,如果加密代理軟件沒(méi)有問(wèn)題,加密代理的安全性要好于普通代理�。在這里���,本文主要還是講述普通代理的安全性��。
1����、HTTP代理協(xié)議簡(jiǎn)介
瀏覽器和HTTP代理服務(wù)器之間是通過(guò)HTTP代理協(xié)議進(jìn)行通訊的。如果我們沒(méi)有使用運(yùn)行在自己的電腦上的加密代理�����,而是直接在瀏覽器中設(shè)置了在互聯(lián)網(wǎng)上的代理服務(wù)器地址�,那么瀏覽器就和代理服務(wù)器之間進(jìn)行的通訊就會(huì)發(fā)送到互聯(lián)網(wǎng)上。代理服務(wù)器常見(jiàn)的請(qǐng)求有GET�����、POST和CONNECT�,下面分別做介紹:
1.1、GET
如果我們通過(guò)代理服務(wù)器訪問(wèn)某個(gè)http協(xié)議的網(wǎng)站網(wǎng)頁(yè)��,那么瀏覽器就會(huì)向HTTP代理服務(wù)器發(fā)送GET請(qǐng)求��。比如我們通過(guò)代理服務(wù)器訪問(wèn) http://www.microsoft.com/ �����,那么瀏覽器就會(huì)向HTTP代理服務(wù)器發(fā)送數(shù)據(jù):
GET http://www.microsoft.com/ HTTP/1.1
……
之后代理服務(wù)器取得數(shù)據(jù)后把網(wǎng)頁(yè)返回給瀏覽器:
HTTP/1.1 200 OK
……
<html>
……
我們來(lái)和沒(méi)有使用代理服務(wù)器的情況對(duì)比一下,如果沒(méi)有使用代理服務(wù)器��,那么我們?cè)L問(wèn) http://www.microsoft.com/ ����,瀏覽器就會(huì)向 www.microsoft.com 這臺(tái)服務(wù)器發(fā)送以下請(qǐng)求:
GET / HTTP/1.1
……
服務(wù)器返回:
HTTP/1.1 200 OK
……
<html>
……
我們看到,使用代理服務(wù)器之后���,GET請(qǐng)求和返回的格式基本沒(méi)有變化�,是否使用代理服務(wù)器的安全性上基本沒(méi)有差異��。
1.2����、POST
當(dāng)我們?cè)谑褂胔ttp協(xié)議的網(wǎng)站上提交表單時(shí)(比如網(wǎng)站上的用戶登陸表單,填寫(xiě)好用戶名和口令����,然后點(diǎn)登陸,就把表單提交到服務(wù)器了)�����,如果表單類(lèi)型是POST(大多數(shù)表單類(lèi)型都為POST,不過(guò)搜索引擎的搜索表單好像都是GET類(lèi)型的)����,那么瀏覽器就會(huì)向代理服務(wù)器發(fā)送POST請(qǐng)求�����。比如在 http://www.williamlong.info/archives/2209.html 中進(jìn)行評(píng)論����,數(shù)據(jù)會(huì)提交到 http://www.williamlong.info/cmd.asp?act=cmt&key=a666b083 ,如果我們使用HTTP代理服務(wù)器��,以下請(qǐng)求會(huì)發(fā)送到代理服務(wù)器:
POST http://www.williamlong.info/cmd.asp?act=cmt&key=a666b083 HTTP/1.1
……
[提交的評(píng)論數(shù)據(jù)]
如果沒(méi)有使用代理服務(wù)器�����,那么以下POST請(qǐng)求直接發(fā)送到 www.williamlong.info 服務(wù)器:
POST /cmd.asp?act=cmt&key=a666b083 HTTP/1.1
……
[提交的評(píng)論數(shù)據(jù)]
使用代理服務(wù)器和沒(méi)有使用代理服務(wù)器的返回結(jié)果也是基本一致的�����。所以POST請(qǐng)求在是否使用代理服務(wù)器的安全性上也是基本沒(méi)有差異的�����。
1.3、CONNECT
當(dāng)我們?cè)L問(wèn)https協(xié)議的網(wǎng)站時(shí)��,瀏覽器會(huì)向代理服務(wù)器發(fā)送CONNECT請(qǐng)求��。比如我們?cè)L問(wèn) https://mail.google.com/mail/?shva=1#inbox 時(shí)�����,瀏覽器會(huì)向代理服務(wù)器發(fā)送以下請(qǐng)求:
CONNECT mail.google.com:443 HTTP/1.0
……
之后服務(wù)器返回:
HTTP/1.1 200 Connection established
……
然后瀏覽器開(kāi)始向代理服務(wù)器發(fā)送加密的數(shù)據(jù)��,使用的是 mail.google.com 的SSL證書(shū)���。代理服務(wù)器把 mail.google.com 返回的加密數(shù)據(jù)原原本本的返回給瀏覽器�。
如果沒(méi)有使用代理服務(wù)器�,那么瀏覽器直接連接 mail.google.com:443 ,然后開(kāi)始發(fā)送和接收加密數(shù)據(jù)��。
我們看到��,使用了HTTP代理服務(wù)器之后�����,HTTPS協(xié)議傳輸?shù)膬?nèi)容仍舊是端到端加密的�,HTTPS仍舊保持了傳輸?shù)膬?nèi)容不被任何負(fù)責(zé)傳輸數(shù)據(jù)的設(shè)備(包括代理服務(wù)器)看到的特性�����。是否使用代理服務(wù)器對(duì)HTTPS協(xié)議的安全性沒(méi)有變化�����。
2、深入討論
Q:我們看到��,使用了代理服務(wù)器之后��,都會(huì)把需要訪問(wèn)網(wǎng)站的域名(包括https的)發(fā)送給代理服務(wù)器����,這樣如果網(wǎng)絡(luò)受到監(jiān)視,就能知道我們?cè)谠L問(wèn)什么網(wǎng)站(但https協(xié)議監(jiān)控不到傳輸?shù)膬?nèi)容��,只能知道我們?cè)L問(wèn)了這個(gè)網(wǎng)站)���,這樣是否降低了安全性��?
A:如果我們的網(wǎng)絡(luò)受到監(jiān)視�����,所有的網(wǎng)絡(luò)數(shù)據(jù)包都被記錄�,那么如果不用代理服務(wù)器,瀏覽器也會(huì)首先去發(fā)送查詢域名所對(duì)應(yīng)的IP的DNS請(qǐng)求��,還會(huì)在得到IP后發(fā)送TCP連接請(qǐng)求到需要訪問(wèn)的網(wǎng)站����,通過(guò)網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)視一樣可以知道我們?cè)谠L問(wèn)什么網(wǎng)站。
Q:有些代理服務(wù)器產(chǎn)品聲稱能夠記錄HTTPS傳輸?shù)膬?nèi)容���,是怎么做到的呢��?
A:使用了SSL劫持的手段�。這些代理服務(wù)器產(chǎn)品無(wú)一例外需要安裝對(duì)應(yīng)的客戶端�����,一旦安裝了這些客戶端�,就能控制客戶端電腦,進(jìn)而安裝代理服務(wù)器自己的證書(shū)�����,進(jìn)行SSL劫持����。有些產(chǎn)品不需安裝客戶端�����,但客戶端瀏覽器訪問(wèn)所有的HTTPS網(wǎng)站時(shí)都通不過(guò)瀏覽器的SSL證書(shū)驗(yàn)證���,瀏覽器都會(huì)給出證書(shū)無(wú)效的警告。
Q:如果我們?cè)炔荒茉L問(wèn)某個(gè)網(wǎng)站�����,使用了代理服務(wù)器可以放問(wèn)這個(gè)網(wǎng)站了�,這個(gè)網(wǎng)站是http協(xié)議的�,這樣訪問(wèn)這個(gè)網(wǎng)站所有的行為在受監(jiān)控的網(wǎng)絡(luò)環(huán)境內(nèi)都會(huì)被記錄吧?
A:是的����。因?yàn)榇矸?wù)器不改變HTTP協(xié)議的安全性,所以所有明文傳輸?shù)膬?nèi)容都能被監(jiān)控系統(tǒng)記錄下來(lái)����。所以,我們使用代理服務(wù)器提交重要信息(比如用戶名和口令)時(shí)�����,都要選擇HTTPS協(xié)議,在輸入用戶名和口令時(shí)需要注意瀏覽器的地址欄是不是以https開(kāi)頭的�。
Q:使用了代理服務(wù)器后,網(wǎng)絡(luò)數(shù)據(jù)包所經(jīng)過(guò)的路和沒(méi)有使用代理服務(wù)器時(shí)不同��,對(duì)安全性有什么影響呢��?
A:這要取決于使用了代理服務(wù)器前后中所經(jīng)過(guò)的路中的每一個(gè)節(jié)點(diǎn)了���。即使不使用代理服務(wù)器����,國(guó)內(nèi)上網(wǎng)仍舊會(huì)面臨各種人為網(wǎng)絡(luò)故障��,使用代理服務(wù)器后因?yàn)榻?jīng)過(guò)的路不同�,所以有可能還是需要面對(duì)這些人為網(wǎng)絡(luò)故障,也有可能不需要面對(duì)這些人為網(wǎng)絡(luò)故障了(如果代理服務(wù)器本身特意解決了這些故障)�����。
3����、總結(jié)
綜合上述���,使用遠(yuǎn)程HTTP代理服務(wù)器的安全性和不使用代理服務(wù)器相比基本沒(méi)有什么差別,我們面對(duì)的人為網(wǎng)絡(luò)故障在使用了代理服務(wù)器后也有可能依然存在����,也有可能減少甚至消失了。
400 186 1886
