1

Тема: https через локальний проксі

Задача: існує веб-клієнт (з закритим кодом), що вміє працювати з https, але використовує застарілі протоколи шифрування, тому на багатьох сучасних сайтах користуватися ним неможливо — виникає помилка з'єднання. Можливий обхід: з'єднуватися з такими сайтами через проксі-сервер, що перешифровуватиме https-запит з клієнта та відповідь з сервера, щоб забезпечити сумісність між ними (можливо, також замінюючи сертифікат з сервера своїм власним). Очікується, що проксі працюватиме на тому ж комп'ютері, що й клієнт, і прийматиме запити лише з локалхосту.

Отже, питання: який софт для цього підходить? В ідеалі, потрібен легковаговий https-проксі, що працює під віндою (XP). Комп старий, вінда стара, варіантів «викинь цей мотлох на смітник і купи нормальне залізо» не пропонувати :)

2

Re: https через локальний проксі

Попробуйте widecap.

Подякували: P.Y., leofun012

3 Востаннє редагувалося P.Y. (04.08.2018 19:57:38)

Re: https через локальний проксі

morgot написав:

Попробуйте widecap.

Схоже, це незовсім те. Проблема, судячи з усього, в сумісності з TLS 1.2 (клієнт уміє лише 1.1 і попередні), тоді як проект припинив розвиватися в 2007-2009 і, ймовірно, також цей протокол не підтримує.

4

Re: https через локальний проксі

можливо, також замінюючи сертифікат з сервера своїм власним)

а тільки так і можливо, інакше не вийде.

Ця стара программа підтримує проксі, тобто можна там їх там задати? Що буде, якщо поставити burp suite чи фіддлер, прописати локальний проксі в програмі ,і запустити? Це сніфери, вони якраз таки ставлять свій сертифікат. Якщо через них запрацює, то можна шось думати.

Подякували: leofun01, P.Y.2

5

Re: https через локальний проксі

Ця стара программа підтримує проксі, тобто можна там їх там задати?

Так — саме так і планую її використовувати.

Що буде, якщо поставити burp suite

Скачав Burp Suite Community Edition v1.7.36 — з параметрами за замовчуванням каже «failed to create burp project. Could not initialise class burp.g6b». Поки що не розібрався, що я роблю нетак.

чи фіддлер, прописати локальний проксі в програмі ,і запустити?

Запустив, увімкнув options=>https=>decrypt https traffic. Ну й ще з деякими опціями погрався (список протоколів та ін.) — якогось ефекту це не дало.

Те, що конектилось без проксі, конектиться й через проксі. Те, що не конектилось, не конектиться (порожня сторінка в клієнті, повідомлення про фейл у логах фідлера).

6

Re: https через локальний проксі

Це якась закрита, приватна программа чи можна її потестити?

7

Re: https через локальний проксі

morgot написав:

Це якась закрита, приватна программа чи можна її потестити?

У даному випадку — просто застарілий веб-браузер (Opera 9.27). Хоча, гадаю, аналогічну методику можна застосувати й до чогось більш специфічного.

Наскільки я можу зрозуміти, фідлер передає серверу той же список протоколів, що отримав від клієнта. Якщо він і вміє шифрувати з'єднання з клієнтом та з сервером двома різними способами, то я поки що не розібрався, як це налаштувати.

8

Re: https через локальний проксі

Р.Ѕ. protocols на тій же вкладці налаштувань, очевидно, лише обмежує припустимі варіанти tls/ssl. Так, можна зробити, щоб воно взагалі перестало конектитись, якщо залишити лише ті протоколи, які клієнт не підтримує.

9

Re: https через локальний проксі

P.Y., буде більше часу, подивлюсь до тої опери, мб шось і вийде.

10

Re: https через локальний проксі

Для дослідів підійде будь-який браузер десятирічної давності — на Гуртом і ҐітХаб, імовірно, зайти з нього буде проблематично.

11

Re: https через локальний проксі

P.Y., поставив фраєрфокс 3.6, дійсно, нікуди не заходить, але через бурп зайшов. Правда, це трохи геморойно, кожний раз добавляти довірений серт для кожного сайта + деякі сайти все рівно виглядають криво. Буду ще дивитись, може щось і придумаю.

Якшо потрібен саме браузер, може візьміть k-meleon? Це по типу старої мозіли, легкий веб клієнт, який підтримує сучасні хттпс.

Подякували: P.Y., leofun012

12

Re: https через локальний проксі

Про k-meleon знаю, але мене цікавить, у першу чергу, загальна методика, як змусити ретрософт працювати в сучасному інеті.
Яку версію бурпа використовуєте?

13

Re: https через локальний проксі

P.Y. написав:

Про k-meleon знаю, але мене цікавить, у першу чергу, загальна методика, як змусити ретрософт працювати в сучасному інеті.

Загалом ніяк. За цей час змінилася купа стандартів, не один лише TLS. В HTML, CSS та JS з'явилася купа нових фіч, які старі браузери не підтримують.

Подякували: leofun011

14

Re: https через локальний проксі

P.Y.

Яку версію бурпа використовуєте?

Останню з оффсайту, але я тестив на 7 вінді, на ХР може вона і не працює, не було часу з тим бавитись.

15

Re: https через локальний проксі

Torbins написав:
P.Y. написав:

Про k-meleon знаю, але мене цікавить, у першу чергу, загальна методика, як змусити ретрософт працювати в сучасному інеті.

Загалом ніяк. За цей час змінилася купа стандартів, не один лише TLS. В HTML, CSS та JS з'явилася купа нових фіч, які старі браузери не підтримують.

Якщо сайт не надто JS-залежний, а несумісні CSS-фічі повністю ламають дизайн, в Опері можна просто відключити стилі й переглядати так, ніби це голий html.
Зрештою, це може бути й не браузер, а, наприклад, кравлер чи інший бот, для якого візуалізація сторінки великої ролі не грає.

Подякували: leofun011

16

Re: https через локальний проксі

Ну, голий html і у мене вийшло зробити (через бурп), але не знаю, чи справа в тих самих москальских стилях, чи ще якась єрунда грузиться по хттпс і її треба додатково добавляти. Але це костилі.

Подякували: P.Y.1