On Tue, Mar 13, 2001 at 01:37:33PM +0100, Kosa Attila wrote:
On Tue, Mar 13, 2001 at 10:21:43AM +0100, SZALAY Attila wrote:
On 2001 Mar 13, Kosa Attila wrote:
A https-re (443-as port) iranyulo kereseket hogyan lehet lekezelni?
Ket lehetoseg van. A valasztas leginkabb attol fugg, hogy a Zorp a
A belso halo kliensei mennenek https cimekre.
A masik lehetoseg az SSL proxy hasznalata. Ebbe aztan bele lehet agyazni http proxy-t, igy a https-ben is tudod ellenorizni a http forgalmat. Ennek viszont az a hatranya, hogy a certificate-eket nem tudja (meg) atvinni a masik oldalra, vagyis, nem lehet kliens oldalon leellenorizni a szerver szemelyet. (Persze, ha a szervert veded, akkor ez nem gond.)
Ebben az esetben mukodik peldaul a hotmail? Valami leiras is jol jonne :)
Illetve, ha csak sima plug-ot hasznalok, akkor mi a helyzet a certificate-ekkel?
ha plugot hasznalsz, akkor nincs semmi problema, a tuzfal "nem nyul bele" a kommunikacioba. Ha https proxyt, akkor viszont a tuzfalnak szuksege van egy privat kulcsra, amivel a hitelesitest elvegzi, ehhez viszont le kell cserelnie a certificate-t is. Amugy az SSL plug-gal valo kiengedesevel az a problema, hogy onnantol kezdve barmi tunnelezheto a 443-as porton (a bejutott trojai siman kilat, tud beszelgetni a kinti crackerrel). Ime egy - szigoruan emlekezetbol irt - https proxy: class HttpsProxy(PsslProxy): class EmbeddedHttpProxy(HttpProxy): def config(self): HttpProxy.config(self) self.transparent_mode = TRUE def config(self): self.client_need_ssl = TRUE self.server_need_ssl = TRUE self.client_cert = '/etc/zorp/fw-intra.crt' self.client_key = '/etc/zorp/fw-intra.key' self.stack_proxy = self.EmbeddedHttpProxy Termeszetesen a beagyazott proxy egyenerteku egy titkositas nelkuli HTTP proxyval, tehat barmilyen beallitast hasznalhatsz ott is. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1