Her ücretsiz proxy'yi güvenilmeyen bir altyapı olarak kabul edin, çünkü öyledir. Operatör anonimdir, finansman modeli belirsizdir ve aynı soket bir hafta içinde bir botnet, güvenliği ihlal edilmiş bir ev yönlendiricisi ve bir araştırmacının honeypot'u arasında dönebilir. Bunların hiçbiri ücretsiz proxy'leri kullanılamaz kılmaz — sadece küçük bir dizi alışkanlığı tartışılmaz hale getirir.
Yaygın Saldırılar
Tehditler dramatik değildir. Çoğu kullanıcının savunma zahmetine girmemesi nedeniyle başarılı olan sıkıcı türdendir.
Düz metin HTTP üzerinden kimlik bilgisi hırsızlığı. http:// üzerinden bilinmeyen bir proxy aracılığıyla herhangi bir şeye giriş yaparsanız, operatör şifreyi görür. Her zaman TLS'yi CONNECT üzerinden tünelleyin veya kendisi HTTPS uygulayan bir hedefe SOCKS kullanın. Modern giriş akışları büyük sitelerde yalnızca HTTPS'dir, ancak eski intranetler, IoT yönetim sayfaları ve eski CMS dağıtımları böyle değildir.
Başlık ve içerik enjeksiyonu. Düşmanca bir HTTP proxy, isteğinizin keyfi bölümlerini yeniden yazabilir: çerezleri değiştirebilir, yönlendirenleri (referrer) takas edebilir, izleme parametreleri ekleyebilir veya önbellek başlıklarını kaldırabilir. Aynı proxy, yanıtlara içerik enjekte edebilir — HTML'e betikler, JSON'a yönlendirmeler, statik sayfalara reklamlar. Proxy üzerinden sunucu tarafı yanıtlarını okuyorsanız, güvenilir bir yoldan bütünlüğü doğrulayana kadar bunları tehlikeye atılmış olarak kabul edin.
SOCKS5 ile DNS ele geçirme. SOCKS5, proxy'de ana bilgisayar adlarını çözümleyebilir. Proxy bir DNS kaydı hakkında yalan söylerse, operatörün kontrol ettiği bir sunucuya bağlanırsınız. İstemcinizi mümkün olduğunda yerel olarak çözümleyecek şekilde ayarlayın: curl --resolve example.com:443:93.184.216.34 veya kodda, ana bilgisayar adı yerine bir IP adresi iletin.
Trafik günlüğü. İyi niyetli bir proxy bile getirdiğiniz her URL'yi günlüğe kaydedebilir. "Bu kişi hangi URL'leri istedi" gibi tehdit modelleri için her genel proxy yanlış araçtır. Yayınlanmış bir günlük tutmama politikası ve itiraz edilen mahkeme celpleri geçmişi olan Tor veya ücretli bir VPN kullanın.
İstemciye karşı kaynak tüketimi. Bazı proxy'ler bağlantıları kasıtlı olarak yavaşlatır, çok büyük yanıtlar döndürür veya veri göndermeden soketleri açık tutar. İstemci tarafınızda katı yanıt boyutu sınırları ve bağlantı zaman aşımları ayarlayın.
Savunmalar, Öncelik Sırasına Göre
Her şeyi TLS içinde CONNECT üzerinden veya SOCKS aracılığıyla bir HTTPS hedefine gönderin. Başka bir yerde tekrar kullanacağınız kimlik bilgilerini asla genel bir proxy arkasında tekrar kullanmayın. Sertifikaları sıkı bir şekilde doğrulayın — verenin sabitlenmesi (pinning) gündelik kullanım için aşırıdır, ancak herhangi bir zinciri kabul etmek pervasızlıktır. Bağlantı ve okuma için kısa zaman aşımları ayarlayın. İş yükü önemli olduğunda adli inceleme için proxy yanıtlarını günlüğe kaydedin. Sık sık değiştirin; beş dakika önce çalışan bir proxy artık aynı proxy olmayabilir.
Ücretsiz Proxy'lerin Gerçekten İyi Olduğu Şeyler
Üç çalışma kategorisi bu gürültüyü haklı çıkarır. Coğrafi içerik varyasyonlarını test etmek: CDN'iniz Frankfurt'a karşı São Paulo'dan doğru sayfayı sunuyor mu? Genel, kimlik doğrulamasız verileri kazımak: arama motoru sonuçları, IP başına hız sınırı olmayan genel API'ler, başka yerde zaten indekslenmiş içerik. Uygulamanızın, giden IP'si hedef için tanıdık olmadığında doğru davrandığını doğrulamak — IP tabanlı dolandırıcılık sezgisel yöntemlerine (heuristics) sahip sistemlerde QA için kullanışlıdır.
Bunları bunun için kullanın. Başarısızlık oranını kabul edin. Kaybetmek istemeyeceğiniz hiçbir şeyi bir proxy'nin arkasına koymayın.