Perlakukan setiap proxy gratis sebagai infrastruktur yang tidak tepercaya, karena memang demikian. Operatornya anonim, model pendanaannya tidak jelas, dan soket yang sama mungkin bergiliran melalui botnet, router rumah yang dikompromikan, dan honeypot peneliti dalam satu minggu. Semua itu tidak membuat proxy gratis tidak dapat digunakan — justru membuat sejumlah kecil kebiasaan menjadi tidak bisa ditawar.
Serangan Umum
Ancaman-ancaman tersebut tidak dramatis. Mereka adalah jenis yang membosankan yang berhasil karena sebagian besar pengguna tidak repot-repot melindungi diri dari mereka.
Pencurian kredensial pada HTTP teks biasa. Jika Anda masuk ke sesuatu melalui http:// melalui proxy yang tidak dikenal, operator melihat kata sandi. Selalu tunnel TLS melalui CONNECT atau gunakan SOCKS ke tujuan yang sendiri menerapkan HTTPS. Alur login modern hanya HTTPS di situs-situs besar, tetapi intranet lama, halaman admin IoT, dan deployment CMS lama tidak.
Injeksi header dan konten. Proxy HTTP yang bermusuhan dapat menulis ulang bagian arbitrer dari permintaan Anda: mengubah cookie, menukar referrer, menyuntikkan parameter pelacakan, atau menghapus header cache. Proxy yang sama dapat menyuntikkan konten ke dalam respons — skrip ke dalam HTML, pengalihan ke dalam JSON, iklan ke dalam halaman statis. Jika Anda membaca respons sisi server melalui proxy, perlakukan sebagai dikompromikan sampai Anda dapat memverifikasi integritas dari jalur tepercaya.
Pembajakan DNS melalui SOCKS5. SOCKS5 dapat menyelesaikan hostname di proxy. Jika proxy berbohong tentang catatan DNS, Anda terhubung ke server yang dikendalikan operator. Atur klien Anda untuk menyelesaikan secara lokal jika memungkinkan: curl --resolve example.com:443:93.184.216.34, atau dalam kode, berikan IP daripada hostname.
Pencatatan lalu lintas. Bahkan proxy yang berniat baik pun dapat mencatat setiap URL yang Anda ambil. Untuk model ancaman yang mencakup "URL apa yang diminta orang ini," setiap proxy publik adalah alat yang salah. Gunakan Tor atau VPN berbayar dengan kebijakan tanpa pencatatan yang dipublikasikan dan rekam jejak panggilan pengadilan yang diperebutkan.
Kehabisan sumber daya terhadap klien. Beberapa proxy sengaja memperlambat koneksi hingga merangkak, mengembalikan respons yang sangat besar, atau menahan soket tetap terbuka tanpa mengirim data. Tetapkan batas ukuran respons yang ketat dan batas waktu koneksi di sisi klien Anda.
Pertahanan, dalam Urutan Prioritas
Kirim semuanya di dalam TLS melalui CONNECT atau ke tujuan HTTPS melalui SOCKS. Jangan pernah menggunakan kembali kredensial di belakang proxy publik yang akan Anda gunakan kembali di tempat lain. Validasi sertifikat secara ketat — pinning penerbit berlebihan untuk penggunaan biasa, tetapi menerima rantai apa pun adalah ceroboh. Tetapkan batas waktu yang pendek pada koneksi dan baca. Catat respons proxy untuk tinjauan forensik ketika beban kerja penting. Rotasi sering; proxy yang berfungsi lima menit yang lalu belum tentu proxy yang sama sekarang.
Untuk Apa Proxy Gratis Sebenarnya Berguna
Tiga kategori pekerjaan yang membenarkan kebisingan. Menguji variasi konten geografis: apakah CDN Anda menyajikan halaman yang benar dari Frankfurt versus São Paulo? Mengikis data publik yang tidak terautentikasi: hasil mesin pencari, API publik tanpa batas kecepatan per IP, konten yang sudah diindeks di tempat lain. Memverifikasi bahwa aplikasi Anda berperilaku benar ketika IP keluarannya tidak dikenal oleh target — berguna untuk QA pada sistem dengan heuristik penipuan berbasis IP.
Gunakan untuk itu. Terima tingkat kegagalan. Jangan letakkan apa pun yang Anda tidak ingin kehilangan di belakangnya.