Hallo Gerd,
gibt es irgendeine zuverlässige alternative zum Abschalten des
transparenten Proxys, wenn man https Seiten über den IPFire filtern bzw.
blocken möchte?
Ich denke nicht, dass es da eine Alternative dazu gibt: https ist eine
Ende zu Ende verschlüsselte Verbindung zwischen Client und Server.
Mithilfe der Zertifikate wird ein Sessionsecret ausgehandelt, welches
dann nur in der Session gilt: da kommst du ohne weiteres nicht hinein.
Eine Alternative kann es also nicht geben: willst du https filtern, dann
mußt du dich in die Verbindung als Man in the Middle einhacken: ich habe
gerade ärger mit einer großen Staatlichen Einrichtung, die genau sowas
in ihrem Netz macht (nein, ich sage nicht mit welcher).
Ich bin mir sicher, dass die, wenn es etwas einfacheres/zuverlässiges
gäbe, es machen würden.
Statdessen ist der transprente Proxy aus: aber die gehen noch weiter:
sie installieren auf den Clients ihre eigene RootCA: damit warnt der
Browser nicht, wenn sie sich mit falschen Zertifikaten als entfernter
Server ausgeben: ein klassischer Man in the Middle: verschlüsselt bis zu
denen und dann von dort aus mit dem richtigen Zertifikat bis zum Zielserver.
Und die haben einen Filter da drin, deswegen habe ich das überhaupt
gemerkt: die haben scripte aus der https Verbindung rausgefiltert.
Ich habe da ja nicht mal direkt was dagegen, wenn die meinen das machen
zu müssen um ihr Netz zu schützen: aber die müssen die „Betroffenen“
darüber informieren.
Ich habe das mal so verglichen: von mir aus können die Kammeras in den
Klos installieren: solange sie es mir sagen: dann uriniere ich halt
woanders. Wenn sie es mir aber nicht sagen, dann habe ich da keine Wahl
… und die haben Bilder von mir, die ich denen nicht gönne.
Ich bin mir ziemlich sicher, dass das gegen geltende Arbeitnehmerrechte
verstößt.
Also: willst du https filtern, dann mußt du die Verbindung am Proxy
unterbrechen und dann gibt es Warnungen, oder du setzt eine eigene
rootCA auf, die dir dynamisch beim Verbindungsaufbau ein Zertifikat für
sparkasse.de (oder was auch immer) erstellt, damit sich der Proxy als
diese Seite ausgeben kann. Soll der Clientbrowser ncht warnen,dann muss
er deiner rootCA vertrauen.
Man kann es dann aber noch immer herausfinden: wenn man das Zertifikat
anschaut: da steht dann nämlich ein ganz seltsamer Ersteller drin …
So: und jetzt noch meine Meinung dazu: ich kenne das Problem seit vielen
Jahren und ich weigere mich Man in the Middle Attacken auf meine Nutzer
zu fahren, weil:
- ich müßte jeden darüber informieren: was meint ihr, wieviele Schüler
kapieren, was da eigentlich los ist? - ich würde den Schülern zeigen, dass es OK ist sich als Cracker zu
betätigen: den nichts anderes ist das in meinen Augen. - es gibt Probleme, auch im Computerraum, die man technisch nicht
vernünftig lösen kann: Computer sind kein Allheilmittel. Zum Glück haben
wir aber auch ein paar Pädagogen in der Schule: die sollten mit solchen
Problemen umgehen können und nicht sofort nach technischen Lösungen
brüllen … so viel Professionalität sollte man erwarten können.
Viele Grüße
Holger