Tratta ogni proxy gratuito come infrastruttura non affidabile, perché lo è. L'operatore è anonimo, il modello di finanziamento è poco chiaro, e la stessa connessione potrebbe passare attraverso un botnet, un router domestico compromesso e un honeypot di un ricercatore in una sola settimana. Niente di tutto ciò rende i proxy gratuiti inutilizzabili — rende un piccolo insieme di abitudini non negoziabili.
Gli Attacchi Comuni
Le minacce non sono drammatiche. Sono il tipo noioso che ha successo perché la maggior parte degli utenti non si preoccupa di difendersi.
Furto di credenziali su HTTP in chiaro. Se accedi a qualsiasi cosa tramite http:// attraverso un proxy sconosciuto, l'operatore vede la password. Tunnelizza sempre TLS attraverso CONNECT o usa SOCKS verso una destinazione che a sua volta impone HTTPS. I flussi di login moderni sono solo HTTPS sui siti principali, ma le intranet legacy, le pagine di amministrazione IoT e le vecchie installazioni CMS non lo sono.
Iniezione di header e contenuto. Un proxy HTTP ostile può riscrivere parti arbitrarie della tua richiesta: modificare cookie, scambiare referrer, iniettare parametri di tracciamento o rimuovere header di cache. Lo stesso proxy può iniettare contenuti nelle risposte — script nell'HTML, reindirizzamenti nel JSON, annunci nelle pagine statiche. Se leggi le risposte lato server attraverso il proxy, trattale come compromesse finché non puoi verificarne l'integrità da un percorso affidabile.
DNS hijack tramite SOCKS5. SOCKS5 può risolvere i nomi host presso il proxy. Se il proxy mente su un record DNS, ti connetti a un server controllato dall'operatore. Imposta il tuo client per risolvere localmente dove possibile: curl --resolve example.com:443:93.184.216.34, o nel codice, passa un IP anziché un nome host.
Registrazione del traffico. Anche un proxy benintenzionato potrebbe registrare ogni URL che recuperi. Per modelli di minaccia che includono "quali URL ha richiesto questa persona", ogni proxy pubblico è lo strumento sbagliato. Usa Tor o una VPN a pagamento con una politica di non registrazione pubblicata e una storia di citazioni in giudizio contestate.
Esaurimento delle risorse contro il client. Alcuni proxy limitano deliberatamente le connessioni a un ritmo lentissimo, restituiscono risposte molto grandi o tengono i socket aperti senza inviare dati. Imposta limiti rigorosi sulla dimensione delle risposte e timeout di connessione lato client.
Difese, in Ordine di Priorità
Invia tutto all'interno di TLS tramite CONNECT o verso una destinazione HTTPS attraverso SOCKS. Non riutilizzare mai credenziali dietro un proxy pubblico che riutilizzeresti altrove. Convalida rigorosamente i certificati — fissare l'emittente è eccessivo per un uso occasionale, ma accettare qualsiasi catena è sconsiderato. Imposta timeout brevi su connessione e lettura. Registra le risposte del proxy per analisi forense quando il carico di lavoro è importante. Ruota frequentemente; un proxy che funzionava cinque minuti fa non è necessariamente lo stesso proxy ora.
A Cosa Servono Davvero i Proxy Gratuiti
Tre categorie di lavoro giustificano il rumore. Testare le variazioni geografiche dei contenuti: il tuo CDN serve la pagina corretta da Francoforte rispetto a San Paolo? Scraping di dati pubblici e non autenticati: risultati dei motori di ricerca, API pubbliche senza limiti di frequenza per IP, contenuti già indicizzati altrove. Verificare che la tua applicazione si comporti correttamente quando il suo IP in uscita non è familiare al target — utile per il QA su sistemi con euristiche antifrode basate su IP.
Usali per questo. Accetta il tasso di fallimento. Non mettere nulla che ti dispiacerebbe perdere dietro a un proxy.