web-dev-qa-db-ja.com

匿名のWebプロキシを使用してWebサイトにログインすることはどの程度安全ではありませんか?

なんらかの理由で当局によってブロックされたいくつかのサイトにアクセスしたいとしましょう。

匿名プロキシ を使用して、機能が制限されている場合もあるこれらのサイトにアクセスできることを理解しています。ただし、Googleサイトなどのサイトにアクセスするときは、ユーザー名とパスワードを入力する必要があります。ファイルをアップロードする場合もあれば、読み取りアクセス専用の場合もあります。

サイトに直接ログインすると、httpsサイトにアクセスすると、ユーザー名とパスワードが暗号化されてネットワーク経由で送信されます。ただし、プロキシ経由でログインすると、ユーザー名とパスワードが暗号化されてネットワーク経由でプロキシサイトに送信される場合がありますが、プロキシサイトは私に代わって送信する必要があるため、クリアテキストで手元にあります。

これは私が危険を感じ始めるところです。プロキシサイトの所有者は、私のユーザー名とパスワードを不当な目的で使用できますか?

私の推測が間違っているかどうか指摘してください。

ヒントや提案も歓迎します。

2
Masroor

エンドツーエンドのセッションを生成できる場合は、プロキシが通信を傍受できないことでセキュリティが確保されますが、セッションがプロキシで終了し、ユーザーに代わってWebサイトに接続する場合、プロキシの所有者は何でもできます。彼らはその情報を求めています。

これが、より高いセキュリティを必要とするサイト(オンラインバンキングなど)がサーバーからデスクトップへのSSL接続をセットアップしようとする理由であり、MITM攻撃を検出または防止するために最善を尽くします。

プロキシを制御しない場合は、プロキシをどれだけ信頼できるかを検討する必要があります。これは、保護しているものの価値によって異なります。

Security Stack Exchange -について、このテーマについて多くの質問があります。

1
Rory Alsop

はい、あなたの推測は正しいです。 Webプロキシの所有者は、すべてのトラフィックデータを記録することにより、送信したユーザー名/パスワードを知っている可能性があります。 Webプロキシで機密情報を送信しないでください。

IP:Portプロキシを使用するとより安全になります。参考までに、プロキシは安全に使用できますか? http://www.change-ip.net/proxy-safe/

1
Terence

セキュリティに真剣に取り組んでいて、不便を気にしないのであれば、 [〜#〜] tor [〜#〜] を使用できます。最後のステップ(ノードをターゲットサイトに終了する)は暗号化されていないため、httpsも使用していることを確認してください。

1
David X