L'idée est effectivement de permettre aux proxys de casser la sécurité de bout en bout d'une connexion HTTPS. Certains proxys permettent déjà de faire ce genre de choses, en affichant un faux certificat (qu'on peut faire avaler par les clients si on a le contrôle sur eux). En clair, c'est une attaque d'homme du milieu sur SSL, que ce draft se propose de standardiser et d'améliorer.
Une fois ce flux déchiffré, on fait évidemment ce qu'on veut. On peut mettre en avant la mise en cache des données, mais il ne faut pas rêver, ça va surtout permettre :
De lire les communications théoriquement confidentielles ;
De mettre en place de techniques de filtrages basées sur des mots clefs et autre joyeusetés ;
Empêcher de contourner les proxys comme peuvent le faire des outils comme SSH via la commande CONNECT (cette dernière raison est citée dans l'introduction du document).
Ou seront utilisés ces proxys ? Probablement en entreprises (certaines le font déjà), certainement dans de nombreux portails captifs, peut-être en bout de réseaux mobiles.
À noter que dans les spécifications, ils sont trop sympa et fournissent une méthode pour refuser le déchiffrement. J'ai tendance à penser que c'est juste pour faire passer la pilule, si quelqu'un met en place un tel proxy, c'est certainement pas pour autoriser les utilisateurs à contourner la règle...
[^] # Re: "trusted proxies" et décrytage pour M. Lambda
Posté par Florent Fourcot . En réponse au journal Des trusted proxies dans HTTP/2.0. Évalué à 10.
L'idée est effectivement de permettre aux proxys de casser la sécurité de bout en bout d'une connexion HTTPS. Certains proxys permettent déjà de faire ce genre de choses, en affichant un faux certificat (qu'on peut faire avaler par les clients si on a le contrôle sur eux). En clair, c'est une attaque d'homme du milieu sur SSL, que ce draft se propose de standardiser et d'améliorer.
Une fois ce flux déchiffré, on fait évidemment ce qu'on veut. On peut mettre en avant la mise en cache des données, mais il ne faut pas rêver, ça va surtout permettre :
Ou seront utilisés ces proxys ? Probablement en entreprises (certaines le font déjà), certainement dans de nombreux portails captifs, peut-être en bout de réseaux mobiles.
À noter que dans les spécifications, ils sont trop sympa et fournissent une méthode pour refuser le déchiffrement. J'ai tendance à penser que c'est juste pour faire passer la pilule, si quelqu'un met en place un tel proxy, c'est certainement pas pour autoriser les utilisateurs à contourner la règle...