O https está impedindo que um proxy inclua o cabeçalho x-forward-for?

1

Estou tentando solucionar um problema para um usuário do meu serviço link .

Na semana passada, eu habilitei o envio de redirecionamentos 301 para todas as conexões http para https.

O usuário que estou tentando ajudar agora estava contando com seu IP interno sendo adicionado ao cabeçalho x-forward-for por seu proxy corporativo. Agora que todas as conexões estão sendo forçadas a https, ele fornece apenas seu IP disponível publicamente.

Estou pensando que seu proxy corp não está inserindo seu próprio certificado em conexões https, portanto, não é possível inspecionar a conexão e inserir / atualizar o cabeçalho x-forward-for com os IPs do proxy.

Nesse caso, isso é bom para a privacidade individual dos funcionários (o chefe não pode interceptar o tráfego da Web), mas está interferindo na maneira como o usuário estava usando o jsonip.com.

Alguém pode confirmar / negar se minha suposição faz sentido?

    
por Geuis 04.01.2017 / 00:00

1 resposta

1

Quando um navegador estiver usando um proxy, o método CONNECT será usado para criar uma conexão direta com o site remoto. Essa conexão está usando o protocolo SSL / TLS e o navegador se comunicará diretamente e sem alterações com o site remoto. Os cabeçalhos de solicitação e cabeçalhos de resposta ou qualquer parte da comunicação não são adulterados pelo proxy.

Os endereços IP internos são considerados informações confidenciais e não devem ser enviados pelo proxy em primeiro lugar. Por motivos de segurança, o cliente que está reclamando deve usar um serviço local semelhante ao que o servidor oferece.

Por outro lado, não vejo por que você não deve oferecer o serviço não criptografado se não houver autenticação ou outros dados confidenciais que seu serviço receba ou envie.

A única maneira de ter um proxy que esteja descriptografando e alterando o tráfego é um proxy que cria certificados sob demanda assinados por uma autoridade de certificação confiável pelo navegador da web. Espero ver essas coisas em ambientes muito controlados. Veja este artigo e o parceiro técnico para um exemplo de tal proxy.

    
por 04.01.2017 / 01:40