El 28 de marzo de 2012 11:31, Diego Woitasen <[email protected]>escribió:
> 2012/3/27 Tio Oscar <[email protected]>: > > Se me ocurrio, algunos seguro conocen la extensión HTTPS Everywhere que > > fuerza la utilización de https en sitios que lo soportan, como estoy > medio > > "preocupado" por el futuro de la privacidad en internet y estoy por > instalar > > un squid en un server que me compre para la red, se me ocurrieron 2 > ideas, > > una al igual que HTTPS Everywhere forzar el uso de https, no importa si > > dentro de la red es transparente, lo que me importa es que cualquier que > use > > mi red y se conecte a http en realidad salga por ssl, es mas si puede ser > > transparente y el proceso de encriptacion/desencriptacion se lo come el > > squid mejor. Alguno conoce alguin plugin o alguna forma de hacer esto? o > > pido mucho? > > > > por otro lado, otra idea que se me ocurrio, es la de desabilitar las > cookies > > de ciertos dominios si el referer no es el mismo, esto es para evitar el > > tracking de sitios como facebook, google, etc. Por ejemplo si me logueo > en > > facebook y lo navego todo bien, pero si un sitio pone un boton de me > gusta y > > este consulta al dominio *.facebook.com que este no le deje utilizar > > cookies, y si es mejor, que lo haga a travez de un cookie, de esa forma > > seguiria funcionando pero solo si el usuario quiere. > > > > Bueno si alguno conoce por donde puedo empezar que me tira una pista. > > Que el cifrado lo haga el Squid no vas a poder, tendrías que > especificar sitio por sitio con el parámetro cache_peer para que > funcione con SSL. Por lo tanto, NO :) > > No no, nunca dije que haga algo magico, solo forzar el uso de https en sitios que lo soporten ,por eso di de ejemplo HTTPS Everywhere que hace justamente eso, hay muchos sitios que no dan opcion de https pero lo tienen configurado (para los logins o demas) y se puede usar. > Peeeero.... podrías configurar para que el Squid haga un redirect a > HTTPS para los sitios que lo soporten. Tendrías que usar un external > acl (ver parámetro external_acl_type). Los external ACLs son scripts > que reciben una línea por stdin con cierto informacion configurable > (dominio destino en éste caso) y devuelven OK o ER por stdout como si > fuera un match o no-match. Éste script cuando recibe el nombre de > dominio debería conectarse al sitio, verificar el soporte de SSL y > devolver OK o ERR si hay soporte o no, respectivamente. El Squid > cachea las respuestas de los external ACL helpers por lo tanto el > delay se lo come el primero que se conecta. La configuración de Squid > sería algo así (no la probé, la saco de la cabeza ahora y avisá por > acá cualquier cosa): > > external_acl_type https_check %DST /usr/local/bin/https-check.py # .py, > obvio > > acl https_check_acl external https_check > > url_rewrite_program /usr/local/bin/https-rewriter.py (éste script > recibe la URL original y debería devolver por stdout la misma pero con > https://) > > url_rewrite_access allow !CONNECT http_check #si NO es CONNECT y > http_check da OK, quiere decir que estoy yendo por HTTP a un sitio que > soporta HTTPS, entonces lo mando el rewriter. > > Algo así :) > > Esa es la idea! > saludos! > -- > Diego Woitasen > Lanux - Grupo de usuarios de GNU/Linux de Lanus > Visitanos en: http://www.lanux.org.ar > > Reglas de etiqueta para el posteo de mensajes a la lista: > http://www.lanux.org.ar/?page_id=35 > > Articulos y noticias por rss: > http://www.lanux.org.ar/?feed=rss2 > > Lanux por irc: > irc.freenode.net -> #lanux. > _______________________________________________ > General mailing list > [email protected] > http://listas.lanux.org.ar/cgi-bin/mailman/listinfo/general > -- El Tio ~ Programador, hacker y filósofo web: http://blog.exodica.com.ar Linked'in: http://www.linkedin.com/in/ogentilezza Twitter: @exos, Indeti.ca: @exos Tels: [+54 11] 638-LINUX (54689) - [+54 9 11] 6799-4797 -----BEGIN GEEK CODE BLOCK----- Version: 3.1 GCS/IT d-- s:++ a- C+++$ UBL+++$ P(-) L+++$ !E--- W+++$ !N !o K-? !w--- !O !M-- V? PS+++@ !PE Y+(++) PGP++ !t--- !5 X++ R(+) tv--? b- DI D-- G e@ h>++ r+++(-) y+++>+++++ ------END GEEK CODE BLOCK------
Lanux - Grupo de usuarios de GNU/Linux de Lanus Visitanos en: http://www.lanux.org.ar Reglas de etiqueta para el posteo de mensajes a la lista: http://www.lanux.org.ar/?page_id=35 Articulos y noticias por rss: http://www.lanux.org.ar/?feed=rss2 Lanux por irc: irc.freenode.net -> #lanux. _______________________________________________ General mailing list [email protected] http://listas.lanux.org.ar/cgi-bin/mailman/listinfo/general
