Я не уверен, какая сеть stackexchange лучше всего подходит для этого вопроса ... но вот:
Это ужасная идея - реализовать прозрачный прокси https для использования локального кеширования в локальной сети?
Мы ограничены пропускной способностью и, к сожалению, не можем получить лучшее соединение из-за местоположения.
Домен использует Active Directory и автоматически доверяет локальному pki. Я нервничаю из-за того, что прокси-сервер может олицетворять все конечные точки ... но это сработает и не потребует больших усилий для запуска. Итак, мой вопрос: это обычная практика или это неразумно? Или, может быть, оба?
Есть много преимуществ ... но это кажется довольно опасным.
Как многие говорили в комментариях, это ужасная идея по многим причинам. Первый и главный из них заключается в том, что подавляющее большинство контента является динамическим и специфичным для пользователя, и в любом случае не имеет смысла кэшировать. Кроме того, ваш кеш по своей природе не сможет определить конфиденциальную информацию из не конфиденциальной информации [изменить], если веб-сайт неправильно настроен. [/редактировать]
Представьте, что я пользователь А, и я захожу в свой почтовый ящик по гипотетическому адресу. https://www.qwertyuiop-mail.com/inbox Их сервер определил, что я вошел в систему, предполагает безопасное соединение и показывает мне все сообщения.
Пользователь B решает проверить свою электронную почту также на https://www.qwertyuiop-mail.com/inbox и поскольку он просто пошел прямо туда, ваш кеш-сервер говорит: «Эй! У меня эта страница кеширована! Я просто обслужу пользователя B, что я только что обслужил пользователя A», и бац, пользователь B теперь видит страницу пользователя A и, вероятно, значительная часть того, что должен видеть только пользователь А.
Что касается владельца сервера, его система должна работать нормально, потому что он не ожидает, что что-либо будет кэшироваться. Вы эффективно создадите пассивную атаку типа «злоумышленник в середине», которой потенциально может злоупотребить любой пользователь вашей системы.
Если вы хотите сделать что-то подобное, я бы рекомендовал делать это только для определенных сайтов из белого списка, которые, как вы знаете, не содержат никаких логинов или для которых вы каким-то образом запрещаете вход в систему. (Википедия может быть хорошим кандидатом для этого, если вы заблокируете вход на сайт)