En nyligen genomförd studie bland 443 gratis proxy-servrar med Österrikiska säkerhet forskaren Christian Haschek slutade med att slutsats att gratis är inte nödvändigtvis en bra sak, åtminstone när det gäller att majoriteten av proxy servrar som analyserades i studien.
Web proxy kommer i olika smaker men de två grupper som du kommer att stöta på mest är proxyservrar som du kan använda på webbsidor och proxyservrar som du lägger till i din webbläsare direkt.
Om du söker efter “free proxy” eller liknande termer som du kommer att upptäcka hundratals om inte tusentals som påstår sig vara fri och öppen.
Haschek upptäckte att 8,5% av fullmakter testas under loppet av studien modifierade JavaScript, 16,6% och HTML, och att 79% inte acceptera HTTPS.
Ändringar är klart problematiskt och användes nästan uteslutande för att injicera annonser men de blockering av HTTPS är inte något som bör tas på allvar med tanke på att alla aktiviteter för användare som är anslutna till proxy kan registreras på servern.
Blockering av https-trafik bör i allmänhet ses som ett dåligt tecken enligt forskaren. Medan jag skulle inte gå så långt, är det rimligt att använda den som en indikator på att något kan inte vara rätt.
Forskaren har publicerat proxy-kontroll skript på nätet som du kan använda för att testa säkerheten i proxy-servrar som du planerar att använda.
För att använda det, lägg till en proxy, IP-adress och port till skriptet, och tryck på enter. Sidan visar en irriterande captcha som verkar för att återställa allt för ofta.
Det enda andra alternativet som anges på sidan är att byta proxy typ från Strumpor till HTTP.
Skriptet kontrollerar följande närvarande:
- Är den proxyserver?
- Är HTTPS-anslutningar accepteras?
- Är din IP-adress anonyma?
- Är proxy ändra JavaScript?
- Är det fullmakt att ändra HTML-innehåll?
Resultaten är färgkodade för enkel användning.
Pjäsen accepterar IP-adresser och portar som innebär att du kan behöva leta upp IP-adresser till värdnamn innan du kan köra skriptet på dem.
Skriptet kan användas för att testa ett ombud vid en tidpunkt som innebär att det inte lämpar sig för provning av dussintals, eller ens hundratals av proxy servrar som att det skulle ta lång tid att testa dem alla.
Fortfarande, om du regelbundet arbetar med en specifik proxy server kan du testa den för att ta reda på mer om det. Du kanske också vill göra samma sak för nya proxy-servrar som du överväga att använda. (via Krebs på Säkerhet och Charles)