Tomsk Sysadmins Forum
Работа/Образование => Вакансии => Topic started by: sergep on August 23, 2006, 11:40:46
-
Требуется системный программист
Задача:
Разработка модуля фильтрации контента HTTP и HTTS трафика на прокси
Разработка модуля фильтрации контента от Instance Messsenger - ов (ICQ MSN )
Администрирование сервера.
Под фильтрацией контента следует понимать процедуру вычленения заранее заданныз слов из общего потока данных.
Проект разовый но возможно обсуждение занятости на полный рабочий день с официальным трудоустройством.
Стоимость проекта договорная
Заинтересованных просьба писать: [email protected]
-
Разработка модуля фильтрации контента HTTP и HTTS трафика на прокси
м.б. я чего-то не понимаю, но вы уверены в том что HTTPS технически возможно анализировать на уровне прокси? ведь после запроса вида CONNECT hostname:443 HTTP/1.1, клиент получает грубо говоря "туннель" и проксе контент будет недоступен, ибо в "туннеле" будет SSL трафик.
-
я не уверено - тема тут открыта
однако в интернете я нашёл методы позволяющие в какиз то случаях создавая коннект уже не самом сервере - пропускать через себя поток
что позволяет добиваться результатов
в 100% работоспособности решения не уверен
-
В принципе, это возможно, но, боюсь, придётся не модуль писать, а прокси от нуля.
Если прокси будет, прозрачно для клиента, принимать CONNECT, затем принимать соединение, идущее через туннель и уже от своего имени создавать соединение с сервером, копируя запросы клиента, то всё может и получиться.
-
В принципе, это возможно, но, боюсь, придётся не модуль писать, а прокси от нуля.
Если прокси будет, прозрачно для клиента, принимать CONNECT, затем принимать соединение, идущее через туннель и уже от своего имени создавать соединение с сервером, копируя запросы клиента, то всё может и получиться.
А как быть с обменом ключами и сертификатами?
Если я не ошибаюсь, то HTTPS защищен от атак типа man-in-middle, что как раз в этом случае и происходит. Хотя если не принципиально скрывать от клиента факт перехвата трафика, то такой вариант наверное "прокатит".
-
А как быть с обменом ключами и сертификатами?
Если я не ошибаюсь, то HTTPS защищен от атак типа man-in-middle, что как раз в этом случае и происходит. Хотя если не принципиально скрывать от клиента факт перехвата трафика, то такой вариант наверное "прокатит".
С сертификатами да, облом выйдет, а в остальном - должно прокатить. Если это, скажем, официальная политика фирмы, то пользователю остаётся только тихо согласиться. В пинципе, я даже где-то такую политику понимаю.
-
С сертификатами да, облом выйдет, а в остальном - должно прокатить. Если это, скажем, официальная политика фирмы, то пользователю остаётся только тихо согласиться. В пинципе, я даже где-то такую политику понимаю.
а я нихера не понимаю. грубо вламываться в обмен между клиентом и сервером чревато косяками. после такого девайса посередине юзеру будет подсовываться либо самопальный сертификат на все конекты, либо вообще редирект на http порт данной прокси, что тоже чревато косяками.
меня тоже напрягает, что https запросы не кешируются (картинки) ни жмутся, но такова реальность.
чего хочет получить заказчик мне непонять. в 99% получится говно.
-
а я нихера не понимаю. грубо вламываться в обмен между клиентом и сервером чревато косяками. после такого девайса посередине юзеру будет подсовываться либо самопальный сертификат на все конекты, либо вообще редирект на http порт данной прокси, что тоже чревато косяками.
меня тоже напрягает, что https запросы не кешируются (картинки) ни жмутся, но такова реальность.
чего хочет получить заказчик мне непонять. в 99% получится говно.
Проблема в связке клиент ---https#1-->proxy--https#2-->web-сервер только одна -- один сертификат для всех клиентских коннектов, что вызовет "недовольное бурчание" web-браузеров.
А получится скорее всего действительно гуано. Как я понимаю, задача такой системы "следить за контентом пользователей", тут действиельно полно проблем -- как следить и кто результаты будет разгребать. Эффективность, как мне кажется, близка к нулю, с таким же успехом к каждому сотруднику можно приставить по соглядатаю.
-
Эффективность, как мне кажется, близка к нулю, с таким же успехом к каждому сотруднику можно приставить по соглядатаю.
когда паранойя зашкаливает, проще загнать всех инетчиков на терминальный сервер, обрезав инет на рабочих местах. а уж трейсить https с клиентской машины, в роли которой будет выступать терминальный сервер, дело техники. и никаких косяков с сертификатами, рисованием layered service provider и т.п.