我有一个大约1000个用户的庞大的networking。 我们使用squid(3.1.x)作为前向caching代理服务器,同时我们还对用户进行身份validation,以允许他们访问互联网(帮助我们logging特定用户访问的内容)。
问题是,客户端和代理之间的这种连接是纯文本的,所以使用数据包嗅探器的任何人都可以看到其他用户的login凭证。
有没有人有这个解决scheme?
安全传输到HTTP代理不太受支持。 还有一个post已经回答了这个问题。
由于代理authentication无非是HTTP基本authentication凭证以非常弱的方式发送的性质。 此时提高安全性并防止其他攻击的一个可能的解决scheme是使用kerberos身份validation(如果适合您的环境)。 根据您的客户端操作系统和整体设置(域/工作组),这是可能的,并提供一些很好的副作用,如单点login。
所以,就像我没有办法用开源一样提供很好的安全性。 但是,我读了鱿鱼文档,使用“auth_param摘要”参数可以至less将纯文本内容转换为散列。