firewall pred HTTPS server

[Petr Novotny]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 24 May 00, at 16:20, KUDLAC Tomas wrote:

> ospravedlnujem, sa, samozrejme mate pravdu. Zas som raz rychlejsie
> pisal ako rozmyslal. Trpim ale predstavou ze ked nebude na ten stroj
> priamy konekt zvonka tak bude bezpecnejsi. To by gateway na aplikacnej
> urovni zabezpecil, preto som spominal squida. Neviem ci je tato moja
> predstava nejak opodstatnena (mozno ze ani nie), ale myslim ze trochu
> paranoje nezaskodi.

Gateway na aplikacni urovni by mozna pomohl; ovsem uz z 
principu tomu https nikdo uprostred nema rozumet; takze nejaky 
ten "aplikacni proxy" uprostred by stejne jen predaval pakety zleva 
doprava a zpet. (Jediny efekt: defragmentovani paketu.)

Ted me napadla jina vec - ovsem nevim, zda je resitelna. Jako ten 
vas "firewall" pobezi apache+mod_ssl (ci apache_ssl) a pres 
mod_proxy bude vlastni stranky stahovat (pres normalni http) z 
toho chraneneho stroje. (Sam by tedy vlastne jen provadel 
enkapsulaci do https.)

Nebo jeste lepe bude ty stranky pres nejake php nebo tak neco 
stahovat sam; az pak je zabali do https. Vyhoda? Pokud si budete 
http(s) requesty na ten hlidany stroj sestavovat sam, lepe se 
ubranite tomu, ze nejaky z parametru v GET ci POST metode bude 
mit divnou hodnotu.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOSvYoFMwP8g7qbw/EQJLvgCdFjeJiPb8deKp6ae4VGDT3AbB7PoAoNYS
AoAMvaOKr5cD9D3HP8Gcp6Ep
=RDk8
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]