The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены

12.10.2023 13:15

Опубликованы результаты независимого аудита безопасности открытого кэширующего прокси-сервера Squid, проведённого в 2021 году. В ходе проверки кодовой базы проекта выявлено 55 уязвимостей, из которых в настоящее время 35 проблем пока не исправлены разработчиками (0-day). Разработчики Squid были уведомлены о проблемах ещё два с половиной года назад, но так и не завершили работу по их устранению. В конечном счёте автор аудита решил раскрыть информацию не дожидаясь исправления всех проблем и предварительно уведомил об этом разработчиков Squid.

Среди выявленных уязвимостей:



  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Стабильный релиз прокси-сервера Squid 5
  3. OpenNews: Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа
  4. OpenNews: Выпуск прокси-сервера Squid 4.8 с устранением критической уязвимости
  5. OpenNews: Выпуск прокси-сервера Squid 3.4.8 с устранением уязвимостей
  6. OpenNews: Критическая уязвимость в прокси-сервeре Squid
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59915-squid
Ключевые слова: squid, proxy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (132) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, commiethebeastie (ok), 13:19, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зачем оно в 2023 году?
     
     
  • 2.3, пох. (?), 13:20, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    а как еще я буду подсматривать какой прон ты качаешь с рабочего места?!
     
     
  • 3.5, commiethebeastie (ok), 13:22, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >с рабочего места?!

    С кого кого, а это кто такой?

     
     
  • 4.23, Аноним (23), 14:25, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот он и проколося. Это такой программный продукт,
    который в группе мер с гонянием сотрудника в офис
    позволяет выяснить его интересы на рабочем месте.

    А если серьезно 80% гибрида по статистике вы зачем
    там куда-то еще ездиитии?

     
     
  • 5.47, пох. (?), 16:06, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А если серьезно 80% гибрида по статистике вы зачем
    > там куда-то еще ездиитии?

    ффсе норм, при поднятии vpn клиента в офис его внешний траффик тоже пойдет через мой правильный прокси.

    А ты думал, в сказку попал?

     
     
  • 6.129, yet another anonymous (?), 22:22, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это если у вас NetworkManager и вы не желаете разбираться в vpn-клиентах.
     
     
  • 7.130, пох. (?), 22:37, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Это если у вас NetworkManager и вы не желаете разбираться в vpn-клиентах.

    ну давай, разберись как устроен xauth в совершенно неизвестном тебе клиенте и сервере.
    Лавры vpnc (ой, мы ОПЯТЬ починили rekeying...oops...) покоя не дают? А ведь там чуть ли не исходники были доступны, циска тогда была молодая и наивная.

    А предоставленный конторой клиент проверит compliance (включая наличие NM и его настройки) и просто не запустится если что-то будет не так.
    Не нравится - за небольшой вычет из твоей зарплаты тебе предоставят вендоноут, где у тебя вообще прав не будет ничего менять.

    В сказку они попали, дети подземелий, млять.

     
  • 7.137, Аноним (137), 16:15, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А чо там как ваще, я не в курсе, где подробнее читать без смс?
     
  • 3.24, Аноним (24), 14:40, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можешь просто спросить.
     
     
  • 4.34, YetAnotherOnanym (ok), 15:30, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лучше папку на общей шаре создать, чтобы туда годноту кидали.
     
     
  • 5.40, Аноним (-), 15:39, 12/10/2023 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 6.117, YetAnotherOnanym (ok), 13:02, 13/10/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 5.65, Аноним (65), 18:20, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так шара быстро переполнится и лопнет, забрызгав всё вокруг
     
  • 3.42, rshadow (ok), 15:45, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раньше подсматривали чтобы 1. В рабочее время не лазили по всяким опеннетам 2. Чтобы экономить траффик. Сейчас анлим у всех в мобилках. Кажется в этом виде это все уже не актуально. Плюс повальный https.
    Теперь это ближе к СИБам, но это совсем другая история.
     
     
  • 4.72, лютый арчешкольник... (?), 20:38, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Плюс повальный https.

    ну безики первым делом ssl bump настроили и через политики раскатали серт (по вантузам). а у кого не вантуз, того залочили )

     
  • 4.102, serg1224 (ok), 02:35, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В умелых руках на прокси можно фильтровать всякую нечисть разными способами. И без всяких подписок. Приоритеты тоже полезно настраивать.
     
  • 3.80, Ivan_83 (ok), 22:55, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Придётся тебе подсматривать через плечо в туалете на экран мобилки :)
     
  • 3.142, burjui (ok), 01:32, 05/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если пользователь не добавит твой сертификат, то будешь ты сосать лапу, а не перехватывать трафик. (в HTTPS можно и URLы шифровать).
     
  • 2.9, Аноним (9), 13:26, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Как поставили в 2003 году так оно и стоит.
     
     
  • 3.28, Аноним (28), 14:55, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда и исправлять не обязательно, всё одно обновления никто на систему вида "Как поставили в 2003 году так оно и стоит" не поставит..
    К тому же они несколько раз, пусть не сильно, но ломали совместимость по конифигу. так что вместо версии времён 2003 поставить версию времён 2023 скорее всего придётся еще и конфиг править... да и что там за ос тогда...
     
     
  • 4.29, Аноним (9), 15:02, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Всё там обновляется неспешно, просто сквид, там потому что всегда был сквид. (На уязвимости всем далеко пофиг) чет пока не взломали через них, наверно потому что брать нечего)
     
     
  • 5.33, Аноним (28), 15:13, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    может потому что сквид это скорее изнутри наружу и из вне оно у многих вприницпе не доступно. А изнутри всё конечно возможно, но заметно реже чем просто из вне открытое.
     
  • 2.37, Пряник (?), 15:35, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Используется, например, в интернет-шлюзе ИКС.
     
  • 2.48, Аноним (48), 16:34, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы быстрее устанавливать гигабайтные обновления Линукс на все три локалхоста дома. Такому учил меня один из местных разработчиков.
     
     
  • 3.81, Ivan_83 (ok), 22:57, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё равно не удобно, в конфигурации и суппорте.
    Самое адекватное решение это либо говорить что у тебя в локалке есть зеркало со своим днс именем и может без tls, ставить туда nginx и заставлять его тянуть отсутствующий в кеше контент с оригинальных источников.
    Сквид и прописывание прокси тут никак не нужны.
     
     
  • 4.119, Аноним (48), 14:06, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что бы такой вариант посоветовать, надо быть образованным человеком, а не типичным продавцом болгеноса.
     
  • 3.140, tonys (??), 09:33, 15/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    apt-cacher-ng?
     
  • 2.77, penetrator (?), 20:45, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя есть другая альтернатива прокси для браузера с поддержкой аутенфикации и шифрованием канала связи?

    VPN не предлагать, только прокси

     
     
  • 3.82, Ivan_83 (ok), 22:58, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проксей полным полно, а канал связи сам браузер нынче шифрует.
     
     
  • 4.90, penetrator (?), 23:30, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Проксей полным полно, а канал связи сам браузер нынче шифрует.

    так и запишем, предлагает передать BasicAuth для прокси в сlear text, апплодисменты

     
  • 2.78, anonymous (??), 21:02, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А какие есть альтернативы, умеющие работать с acl вида "пользователь - разрешённые сайты"? Да, такое иногда бывает надо, и кроме сквида никто этого не умеет.

    Ну и ещё всякие штуки, типа NTLM аутентификации, кто-то использует, и squid тут безальтернативен.

     
     
  • 3.83, Ivan_83 (ok), 23:00, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В современном мире это какие то странные хотелки.

    Раньше сквид использовался для экономии аплинка и лимитиации юзеров, потому что часто инет был с помегабайтной оплатой либо канал был безлимитный но оч узкий.

     
     
  • 4.113, anonymous (??), 10:53, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так прокси бывает не только для пользовательских браузеров, но и для приложений.

    Да и если для пользователей - допустим, доступ в интернет запрещён политиками безопасности, но обновления и пару каких-нибудь сайтов можно.

    В общем, бывают разные сценарии использования, и для некоторых альтернатив сквиду просто нет.

     
     
  • 5.127, Ivan_83 (ok), 21:40, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так это всё глупые применения.
    Сколько потребуется потратить времени на прописывание проксей в куче разных систем и приложений?

    Не проще резолвить нужные имена и кидать их фаеру как разрешённые?

     
  • 3.131, Сергей (??), 00:17, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    CheckPoint однако умеет.
    Ходили слухи про Usergate, но сам не проверял
     
  • 2.92, Аноним (92), 23:38, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Удобно запускать прокси для виртуалки, в которой не работает HTTPS (например с виндой 98).
     

  • 1.2, Советский инженер (ok), 13:20, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    похоже, все статические анализаторы отвалились
     
     
  • 2.6, Аноним (9), 13:22, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, кто то пишет и сразу шифрует свой код)
     

  • 1.7, Аноним (7), 13:24, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    Используйте серверное ПО от Microsoft и не будет вам уязвимостей, которые опенсорсники не исправляют десятилетиями

    А говорили опенсорс и линукс безопасны

     
     
  • 2.8, Аноним (9), 13:25, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Почему-то не верю что они там наблобили, там не то что случайных уязвимостей полно, но и специальных куча.
     
  • 2.38, Пряник (?), 15:36, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А в M$ двадцатилетиями.
     
     
  • 3.41, Аноним (41), 15:43, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А в иксах - тридцатилетиями...
     
     
  • 4.57, OpenEcho (?), 17:02, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это качество ! Что за 30 лет так никто и не нашел, несмотря на то что опенсоурс
     
  • 4.63, Аноним (63), 18:10, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так нефик иксы юзать
     
  • 4.68, Аноним (68), 18:53, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Осталось понять, причем тут иксы
     
  • 2.91, Аноним (92), 23:35, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как же хорошо забылась шумиха с WannaCry...
     

  • 1.10, Аноним (10), 13:30, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Кажется авторы хотели собрать всех покемонов _- Или получили заказ от университ... большой текст свёрнут, показать
     
     
  • 2.52, Аноним (52), 16:52, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А они юзабельны, эксплоитами?

    Пускал squid с начала нулевых в харденед системе. Он ни разу за годы не упал. При наличии вирей под него должен был падать!

    В сквида очень сильно менялась з годами команда разрабов. То ода фирма под крыло возьмёт, то другая. То в одну сторону развивают, то в другую.

    Вопрос были ли эти дыры в  или  версии сквида или их добавили недавно.

     
     
  • 3.61, Аноним (10), 17:44, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То что он не падает, не значит что злобный какир его не взломал и теперь свободно входит, и выходит. Замечательно выходит!

    Думаю время вирусни, действие которых ты видел сразу (привет CIH, Boza, Melissa), уже прошло.
    Скорее всего оно будет шифроваться максимально.

     
  • 3.84, Ivan_83 (ok), 23:04, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот про не падает - вы видимо молоды :))))
    Я помню году в 2009-2010 вроде они тогда только на кресты переехали в 3.0 версии, у меня этот ваш сквид на маленьком офисе в 3 редко 5 активных компов падал пару раз в сутки.
    После 2 или 3 звонка мне по этой проблеме я просто засунул в крон чтобы он запускался раз в 5 минут и на этом звонки прекратились :)
     

  • 1.11, Аноним (11), 13:37, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    уязвимости или баги?
     
     
  • 2.13, Анонин (?), 13:43, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимостей
    > 55 vulnerabilities and 35 0days

    Причем проверка была еще в 2021, а они до сих пор не исправили...
    Багов там наверняка на порядок больше.

     
     
  • 3.14, Аноним (14), 13:59, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Причем проверка была еще в 2021, а они до сих пор не исправили...

    так никто им уже видимо не пользуется.

     
     
  • 4.19, Анонин (?), 14:18, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Последний коммит в их репе 20 hours ago, за неделю 6 Active pull requests.
    Не много конечно, но вроде еще шевелится.
     
  • 4.20, Анонин (?), 14:19, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но это конечно не доказывает, что им кто-то пользуется))
     
     
  • 5.27, Витюшка (?), 14:53, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Обратного не доказывает тоже
     

  • 1.15, voiceofreason (?), 14:03, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    прокси-сервер
    @
    в 2023 году

    Давайте ещё ICQ и IRC юзать

     
     
  • 2.16, Аноним (16), 14:11, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Впн не позволяет чистить трафик от малвари, для этого необходим прокси. И чем меньше малвари чистить на клиенте, тем лучше.
     
     
  • 3.21, commiethebeastie (ok), 14:19, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как будто прокси без кекса с MITM и корневыми сертификатами сможет отклонить зараженный трафик.
     
  • 2.17, Шарп (ok), 14:13, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Найс перекрытие провала сишных дидов.
     
     
  • 3.18, Анонин (?), 14:16, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эти плюсовики((( https://github.com/squid-cache/squid
    Но вообще это теорема г-на Эскобара.
     
     
  • 4.22, Шарп (ok), 14:20, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там си с классами. Они даже умные указатели не используют.
     
     
  • 5.31, Аноним (9), 15:04, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ладно так уж и быть иди их и по используй.
     
  • 5.35, Аноним (35), 15:31, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда вышел Squid v3 на С++, умных ещё не было.
     
     
  • 6.76, Аноним (76), 20:44, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Когда вышел Squid v3 на С++ это лишь был Squid v2, который собирался C++ компилятором. У них там были сишные списки и прочее вместо контейнеров, malloc/free кое-где замененными на new/delete и т.д.

    да он и сейчас такой

     
  • 2.30, Аноним (30), 15:02, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Белка, залогинься.
     
  • 2.58, OpenEcho (?), 17:05, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Давайте ещё ICQ и IRC юзать

    Зачем, нам wall и write достаточно

     
  • 2.85, Ivan_83 (ok), 23:06, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего плохого в прокси и в IRC нет.

    Но с тем что киллер фичи сквида нынче протухли, как минимум из за почти бесплатности инета и повсеметного TLS я согласен :)

     

  • 1.25, Аноним (25), 14:44, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чем этого мамонта можно заменить? Задача - проксирование трафика (в т.ч. https) в домашней сети к немного "недоступным" сайтам.
     
     
  • 2.26, Аноним (28), 14:50, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тинипрокси ?
     
     
  • 3.49, Аноним (25), 16:50, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оно умеет https и acl?
     
     
  • 4.97, Аноним (97), 00:22, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проверил - https transparent не уммет, печаль
     
  • 2.32, commiethebeastie (ok), 15:04, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ssh + socks5

    Нативно, никаких ушлёпочных заголовков и маршрутов как с использованием VPN.

    Про списки все-равно можешь забыть, cloudflare куда больше заблокировал сайтов, не входящих в the список.

     
     
  • 3.50, Аноним (25), 16:51, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я спрашивал про софт, а не про протоколы. Как ты с помощью ssh будешь проксировать https без сети - непонятно.
     
     
  • 4.51, Аноним (25), 16:52, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    s/без сети/в сети/
     
  • 4.101, commiethebeastie (ok), 01:18, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я SwitchyOmega использую.
     
     
  • 5.103, Аноним (103), 02:50, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Такое ощущение, что все резко тупого поймали. Спрашивал про транспарент прокси, он мне браузерное дополнение сует...
     
  • 2.45, Аноним (45), 15:59, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://alternativeto.net/software/squid/?platform=linux

    https://progsoft.net/en/software/squid

    https://cloudinfrastructureservices.co.uk/top-20-best-squid-proxy-alternatives

     
     
  • 3.126, Аноним (126), 21:20, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спрашивали твой личный опыт, маня, а не первые маркетинговые статьи из гугла
     
  • 2.46, rshadow (ok), 15:59, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Автоконфигурация прокси в локальной сети. Гугли proxy.pac и WPAD.
     
     
  • 3.53, Аноним (25), 16:53, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то на виндузятном, не понимаю.
     
     
  • 4.87, Ivan_83 (ok), 23:14, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вот не надо!
    pac понимает и фаерфокс и хром, иначе они бы нафик не нужны были в корпоративных сетях.
     
  • 2.86, Ivan_83 (ok), 23:12, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это хороший вопрос :)

    Пока жил в РФ юзал разное.

    Провайдер у меня для заблоченных хостов по 443 возвращал свои фейковые TCP RST и я просто накидал BPF фильтр чтобы дропать TCP RST и определёнными флагами и определённым TTL.

    Для 80 порта у меня nginx прозрачно проксировал всё, и если получал код возврата который провайдер поставил на заглушке (или редирект, не помню уже) то nginx пробовал открыть файл через прокси антизапрета, и записывал один байт в лог файл. В следующий раз если файл с именем сайта уже есть то он сразу перенаправлялся через прокси.


    Я планировал написать специальный прокси, который бы парсил TLS SNI заголовок, дальше пробовал пройти куда просили и если подключится не удалось, то пробовал бы сходить через SOCKS5 прокси.

     
  • 2.107, Аноним (107), 08:34, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://gost.run/en/
     

  • 1.43, rvs2016 (ok), 15:47, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А чё - прокси-серверами в пост-диалапную эпоху и в эпоху https вместо http ещё кто-то пользуется? :-)

    Необходимость кешировать что-то на прокси-сервере из-за низких скоростей закончилась же с отмиранием диалапа лет 20 назад, когда начались массовые АДСЛ, которые тоже вытеснились лет 10 назад оптиками там всякими.

     
     
  • 2.54, Аноним (25), 16:54, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сквид умеет https
     
     
  • 3.60, rvs2016 (ok), 17:16, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сквид умеет https

    Да я-то "ещё в те годы" (когда прокси-серверы ещё были популярны) слышал о такой возможности сквида, но тогда эпоха медленного интернета уже начинала заканчиваться, из-за чего все эти сквиды я устанавливать уже перестал, и поэтому тогда я эту возможность не изучил и не применил ни разу, а теперь прокси-серверы мне не нужны окончательно уж.

     
     
  • 4.98, Аноним (97), 00:24, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда ж вы такие беретесь, а... Прокси сейчас нужны не для кэширования, а для гибкого распределения трафика по разным апстримам. Медленный интернет кончился, начался огороженный интернет.
     
     
  • 5.105, Ivan_83 (ok), 07:13, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это у вас он там огорожен, и ещё в паре изгойных мест.
     
  • 5.108, rvs2016 (ok), 08:43, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Откуда ж вы такие беретесь, а...

    ...а-а-а-ткуда берутся те, которые вместо обсуждения темы задают вопросы о том, кто там где-то откуда-то берётся.

    > Прокси сейчас нужны не для кэширования,
    > а для гибкого распределения трафика
    > по разным апстримам.
    > Медленный интернет кончился,
    > начался огороженный интернет.

    Идея понятна. Спасибо.

     
  • 2.56, Аноним (56), 17:01, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Предложи мне свободное решение умеюшие;

    1. Блочить по чёрному списку.
    2. MitM https.
    3. Изменять содержимое html страницы на лету (вирей удалять).
    4. Сканить на вирусы.

     
     
  • 3.59, OpenEcho (?), 17:10, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Suricata
     
     
  • 4.99, Аноним (97), 00:25, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Причем тут IDS спрашивается?
     
     
  • 5.115, OpenEcho (?), 12:06, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Причем тут IDS спрашивается?

    Потому-что можно:

    1. Блочить по чёрному списку.
    2. MitM https.
    3. Изменять содержимое html страницы на лету (вирей удалять).
    4. Сканить на вирусы.

     
  • 3.67, rvs2016 (ok), 18:44, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Предложи мне свободное решение умеюшие;
    > 1. Блочить по чёрному списку.
    > 2. MitM https.
    > 3. Изменять содержимое html страницы на лету (вирей удалять).
    > 4. Сканить на вирусы.

    Все эти блокировки да подмены содержимого были полезны в те годы, когда у народа не было большого множества вариантов доступа к интернетам. Тогда если человеку перекрыли доступ куда-то, или подменили содержимое чем-то, то человеку деваться было некуда. А теперь-то телефон из кармана вытащил и доступ к нужному сайту всё-равно получил.

    Вот раньше мы в киоске запрещали доступ ко всему, что не является нашими рабочими сайтами, которые киоску для работы требуются. И делали мы это с целью экономии трафика потому, что он тогда не был безлимитным.

    В эпоху безлимитных адслей, а потом и оптик необходимость блокировки интернетов для экономии трафика пропала окончательно.

     
     
  • 4.132, Сергей (??), 00:32, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если у вас пивной ларёк на окраине города (такое бывает) - ваше право.
    А если корпоративная сеть банка, например, или ещё какой-то фин. организации (я оттуда, мне это близко и понятно) - то и про прокси-серверы вспомните, и про GeoIP и про RPZ в DNS/Bind/Unbound
    и dnstop'ом пользоваться научитесь и DNSзапросы логгировать и слова IoC узнаете, запомните, и пользовать будете везде, где дотянетесь.

    Если вы не просто так там з.п. получаете, а работаете

     
     
  • 5.134, rvs2016 (ok), 09:19, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А если корпоративная сеть банка, например, или ещё какой-то фин. организации (я
    > оттуда, мне это близко и понятно) - то и про прокси-серверы
    > вспомните, и про GeoIP и про RPZ в DNS/Bind/Unbound
    > и dnstop'ом пользоваться научитесь и DNSзапросы логгировать и слова IoC узнаете, запомните,
    > и пользовать будете везде, где дотянетесь.

    Ну да. Но только не научитесь да узнаете, а начнёте применять. :-)

     
  • 3.93, Ivan_83 (ok), 23:38, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1 Unbound В конечном счёте мой чёрный список из сквида попал именно в него, ко... большой текст свёрнут, показать
     
  • 2.89, Ivan_83 (ok), 23:24, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Насчёт кеширования я с вами не соглашусь, увы.
    У меня на телефонах и планшетах OSM стоит, там ежемесячно примерно 10Гб обновлений карт на каждый девайс.
    Я бы может и не хотел кешировать у себя, у меня то канал широкий, но кажется с отдающей стороны скорость ограничивают.

    Насчёт кеширования сайтов - тут вопрос сложнее.
    Я пользовался сквидом для кеширования и нарезки рекламы и прочего шлака, где то с 2009 по 201х (максимум 18, но мне кажется раньше сильно ушёл).
    И почти всегда эффективность кеша была достаточно низкой, не важно брать статистику из дома где я почти один был или из малых офисов 3-15 девайсов. Выше 25% вроде не поднималась, кажется обычно 10% примерно было.

    Но подозреваю резалка рекламы и прочего мусора давала экономии больше :)


    В моей деревне АДСЛ пришёл в 2006 году и оплата была помегабайтной, так что кеш имел смысл.
    Безлимитным он стал где то через год. Оптика до физиков докатилась наверное лет 8 назад, до того была оптика до дома/подъезда.

     
     
  • 3.109, rvs2016 (ok), 09:04, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Насчёт кеширования сайтов - тут вопрос сложнее.

    Так ещё и "философия построения сайтов" изменилась.

    Раньше было, что кешировать - вебмастера понаваяют на своих сайтах статических хтмл-страничек, которые никогда в жизни менять потом не собирались так, что они были неизменными байтик в байтик от запроса к запросу.

    А теперь-то каждая страница в каждом запросе "движком" сайта создаётся уникальной. В ней могут меняться важные части типа заголовков свежих новостей, которые кеширование уничтожит. :-)

     
     
  • 4.128, Ivan_83 (ok), 21:42, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так профит всё равно был от кеширования картинок и прочего тяжёлого контента :)
     

  • 1.44, birdie (ok), 15:59, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    С agile development кэширование вообще потеряло какой-то смысл, кроме как на стороне CDN.
     
     
  • 2.55, Аноним (25), 16:55, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да причём тут блин кэширование? Это далеко не основная фича.
     
     
  • 3.62, birdie (ok), 17:48, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Да причём тут блин кэширование? Это далеко не основная фича.

    Из описания:

    Squid is a **CACHING** proxy for the Web supporting HTTP, HTTPS, FTP, and more.

    Изначально его использовали именно для этого, чтобы уменьшить нагрузку на каналы и ускорить загрузку страниц. Контроль за доступом (authorization и web access) - дополнительная неосновная фича.

    Слово "блин" в данном случае вводное и обособляется запятыми.

     
     
  • 4.64, Аноним (63), 18:15, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    о очередные филологи на опеннете xD
     
  • 4.69, Аноним (65), 19:03, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сам себе и ответил А вот теперь, судя по всем попыткам объяснить вам всем таким... большой текст свёрнут, показать
     
     
  • 5.94, Ivan_83 (ok), 23:43, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы будете смеятся но у меня дома squid был заменён на nginx.

    Да, nginx мне проксировал инет прозрачно по 80 порту дома 5-10 лет.
    И кешировать он умеет, не так хорошо,когда я пробовал, сейчас наверняка уже не хуже.
    От кеша правда я отказался, его эффективность и на сквиде кажется упала до 5% к моменту перехода, из за TLS. А TLS я не собирался проксировать разбирая содержимое.

     
  • 4.74, лютый арчешкольник... (?), 20:43, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Squid is a **CACHING** proxy for the Web supporting HTTP, HTTPS, FTP, and more

    ну мало ли.... справедливости ради, даже во времена платных мегабайтов, прокся в корп-сети не сильно окупалась (5-10% экономии), ещё и глюки вылазили на сайтах если кешировать принудительно а не что сайт в заголовках говорит.

     
     
  • 5.95, Ivan_83 (ok), 23:46, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Насчёт окупания - вопрос спорный, сквид же часто крутился не на отдельной железке, так что для окупаемости придётся считать сколько электричества и ценных мегабайт на диске потребил именно сквид.

    Да и профит от нарезки рекламы и прочего мусора был кажется даже больше чем от кеширования.
    Кажется я в одной конторе по WPAD раздал конфиг и у меня апдейты венды через сквид поехали, вот тогда был  хороший хит ратио )

     
  • 4.110, rvs2016 (ok), 09:08, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да причём тут блин кэширование? Это далеко не основная фича.
    > Из описания:
    > Squid is a **CACHING** proxy for the Web supporting HTTP, HTTPS, FTP,
    > and more.
    > Изначально его использовали именно для этого, чтобы уменьшить нагрузку на каналы и
    > ускорить загрузку страниц. Контроль за доступом (authorization и web access) -
    > дополнительная неосновная фича.
    > Слово "блин" в данном случае вводное и обособляется запятыми.

    Минусов этому сообщению натолкали напрасно. Подтолкнул ему свой плюсик.

    Не знаю, как позже, но раньше прокси-серверы использовали больше для снижения нагрузки на канал.
    Позже уже начали понемногу применять прокси-серверы и для других штучек - подмены содержимого с разными целями и т.п. Но это было позже. А раньше в основном была цель - уменьшение нагрузки на канал.

     
     
  • 5.133, Аноним (133), 06:08, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А птичку тут просто многие ненавидят из принципа, ибо он рациональный, а тут в основном ярые фанаты Linux/Open Source.
     

  • 1.70, Аноним (70), 19:07, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему авторы Сквида не залатали дыры? Откуда у них такое безалаберное отношение? Для закрытия уязвимостей нет никаких технических препон.
     
     
  • 2.71, Аноним (71), 20:17, 12/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе нужно - ты и залатывай. А не нужно - тогда и не визжи.
     
  • 2.104, Аноним (104), 05:30, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что не дыры? Дыры это когда есть возможность загружать и запускать вирусы удаленно. Такие эксплоиты есть? Нет? Значит и фиксить нечего. Фиксить то, что и так нормально работает, это зло, классическая ошибка программиста, даже слово специальное есть, мне гуглить лень, сам поищи, когда пишут фичи ради удовлетворения формальной логики, которая в реальной эксплуатации не встретится. Писать надо реальные функции, а не надрачивать на идеальный код в вакууме. Такого псевдо-программиста гнать надо ссаными тряпками, только имитирует деятельность ничего полезного не делая, паразит.
     
     
  • 3.118, Аноним (118), 13:31, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты так разорался, как будто, за твои деньги он так программирует.
     

  • 1.73, Аноним (73), 20:38, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Логичный конец опенсорсных влажных мечт. Ребят, не бывает "хорошо и бесплатно"! Как ни крути, всё равно приходим к тому, что хоть как-то, но ТРУД должен оплачиваться. Бартер типа "ты мне ОСь, я тебе компилятор" не особо работает. Не говоря о тысячах леммингов, у которых вообще нет никаких скилов, кроме как потреблять.

    Писать софт надо в режиме "фича за деньги". Запрашивается фича, оценивается бюджет, скидываемся всем миром, получаем фичу. Всё как у взрослых - с тех.заданием, саппортом, доками и т.п. Иначе это будет бесконечный балаган, как сегодняшний Линукс.

     
     
  • 2.111, пох. (?), 09:17, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Логичный конец опенсорсных влажных мечт. Ребят, не бывает "хорошо и бесплатно"! Как

    платно тоже не бывает. Точнее, хорошо будет, но не тебе.

    > Писать софт надо в режиме "фича за деньги". Запрашивается фича, оценивается бюджет,

    кнутоваааааатель! Срочно в экзекьюторскую! Тут опять раб хочет денег!

    > скидываемся всем миром, получаем фичу. Всё как у взрослых - с
    > тех.заданием, саппортом, доками и т.п. Иначе это будет бесконечный балаган, как
    > сегодняшний Линукс.

    сегодняшний линукс пишется - за деньги. Деньги корпораций. У тебя столько нет и не будет. Никогда.

    Предыдущий линукс (сквиды и прочее всякое) писался ДЛЯ СЕБЯ. А не за деньги. Это упущение уже исправлено. У тебя никогда не будет столько лишнего времени чтобы ты смог хоть что-то существенное написать.

    Мелочь какую-нибудь - пока еще да. Но этот недочет уважаемый кнутователь щас тоже устранит.


     
     
  • 3.120, Аноним (10), 19:13, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так пиши для себя, кто тебе запрещает!
    А то разнылся как дитя мелкое.

    Кто хочет - тот делает.
    Куча проектов делается just for fun, и никто не жалуется.

     

  • 1.75, Аноним (75), 20:44, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Печально, у меня всё рабочее окружение на сквиде держится. Фич tinyproxy не хватает.
     
  • 1.88, Василий (??), 23:21, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Squid часто используется как прозрачный прокси для контентной фильтрации в UTM системах.
     
  • 1.96, Ivan_83 (ok), 23:52, 12/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сквид такое же легаси как апач.

    Только его авторы лет 10+ назад решили зачем то на кресты переписать, кажется с того времени у сквида и начались проблемы с качеством кода.
    Проблемы потому что конвертировать такую кодовую базу полноценно в кресты авторам видимо было не по силам, а дальше видимо пошёл типичный какакод от крестовиков, которые как и пхп/петонисты не всегда понимают что на самом деле делает их код, и каждый раз надо звать гуру или Страуструпа чтобы он рассжёвывал и бил по рукам :)

     
     
  • 2.100, Аноним (97), 00:27, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в том, что для этого легаси не написали замены. Растоманы, ау! Вот вам поле непаханное.
     
     
  • 3.106, Ivan_83 (ok), 07:15, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да как бы и проблемы то уже такой нет.
    Кеширование умеет nginx, как и проксирование, при прямых руках он в этой части заменяет сквид.
    Авторизация - она как бы не очень нужна, и есть всякие другие способы типа хотспот авторизации.
     
  • 3.123, пох. (?), 21:02, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  Вот вам поле непаханное.

    Так в этом и проблема. Не под силу им поля. Так, пару горшочков на окошке-  могут. Делянку могут, если на гугловые или чьи там еще деньги и кнутовать будут хорошо. А больше - не могут. Пока все силы уходят на бег от борова и удовлетворяние клиппи - не до кода.

    Можно было бы завалить количеством, но тоже пока не получается - нет нужного количества умеющих в закорючки.

    Поэтому ресдох и сдох.
    А эскопета так и останется с кривым стволом.

     
     
  • 4.135, Прохожий (??), 09:45, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Не под силу им поля

    Из чего это следует? Кажется, здесь была новость об аналоге nginx, написанном на  Rust, более быстром и безопасном.

    >нет нужного количества умеющих в закорючки

    Народ сейчас по большей части в Вебе занят, где больше всего вакансий. То есть, причина не в том, что никто не может. Причина в том, что никто не хочет за бесплатно. Все кушать хотят. А из веба в системщину перейти - дело не быстрое.

    >Поэтому ресдох и сдох

    Это домашний проект, и он рабочий, кстати.

    В общем, типичный такой уровень  "экспертизы" от очередного "эксперта".

    Ресдох сдох пох. Поставьте запятую, не ошибитесь.

     
     
  • 5.138, Ivan_83 (ok), 17:23, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не аналог был.
    Кажется амазон или кто то там решил одну свою конкретную специфичную задачу по обработке HTTP заменив nginx самописным софтом на rust.
     
     
  • 6.139, пох. (?), 00:59, 15/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не аналог был.

    имянно. не выиграл, а проиграл, не поле а очередной горшочек на окошечке.
    И так каждый раз.

     
  • 2.112, пох. (?), 09:21, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Только его авторы лет 10+ назад решили зачем то на кресты переписать,
    > кажется с того времени у сквида и начались проблемы с качеством

    нет, до этого было такое же г-но. Каждая новая версия фиксила пяток-десяток rce и добавляла столько же. Продукт 90х годов, тогда все так писали - лишь бы запускалось. Потому и написали,а не погибли в неравном бою с боровом.

    > Проблемы потому что конвертировать такую кодовую базу полноценно в кресты авторам видимо
    > было не по силам, а дальше видимо пошёл типичный какакод от

    а они и не пытались, там скорее си-с-классами был чем полноценный c++ - т.е. хуже в общем-то не должно было стать.
    Хуже стало ровно потому что авторам стало существенно менее интересно заниматься этим проектом и их самих осталось мало. Как и тех кто мог бы им предоставить готовые патчи, а не гордо с высоты птичьего помета тыкать - тут у вас уязвимость, и там тоже, немедленно мне исправьти ането!

     
     
  • 3.136, Прохожий (??), 09:55, 14/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Потому и написали,а не погибли в неравном бою с боровом.

    Что-то написали, и оно даже как-то работает. Все довольны? Если да, то к чему тогда вот эти стенания, которые мы видим под данной заметкой? А, нет, оказывается не все довольны. Мало кто хочет жить за peшeтoм из "увизгвимостей". Вот ведь странный народ, да? Или эта странность чем-то объясняется? И чем же? Ну, конечно, баблом! Только типичный пох. не умеет его считать, ему вообще на это пох.

    >авторам стало существенно менее интересно заниматься этим проектом

    Ну да, написали кусок г. , удовлетворили своё ЧСВ и смылись. А за качество платить надо. Но все ж хотят бесплатно.

     
  • 2.116, InuYasha (??), 13:02, 13/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    апач не легаси, yo
     

  • 1.141, Savaoff (?), 21:24, 15/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ... а еще оно wccp2 умело)
     
  • 1.143, Аноним (143), 08:09, 13/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В корпоративной среде для слежки за пользователями - кто куда ходит в отчетах для ИБ аналоги кальмару либо платные (usergate), либо малофункциональные. Есть хороший проект Web Safety от diladele , где на кальмара прикручен красивый GUI и отчеты, но он платный.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру