Ich besorge mir einfach einen Linux-Server von einem Drittanbieter. Dann erstelle ich einen SSH-Tunnel über SecureCRT:https://www.vandyke.com/support/tips/socksproxy.html, wobei der Linux-Server als Gateway-Server verwendet wird.
Der Linux-Server ist jedoch nicht 100 % sicher, da er von einem Drittanbieter verwaltet wird. Wenn ich mich jetzt über den SSH-Tunnel mit einem HTTPS-Server verbinde, wird das an den HTTPS-Server gesendete Passwort dann von den Administratoren des Linux-Servers gestohlen?
Antwort1
HTTPS über einen SSH-Tunnel eines Drittanbieters ist nicht weniger sicher als SSH über nicht vertrauenswürdige Netzwerke und das Internet ist per Definition ein nicht vertrauenswürdiges Netzwerk.
HTTPS verschlüsselt Ende-zu-Ende und kein Zwischenhändler kann die Nachricht entschlüsseln, es sei denn, er verfügt über die Schlüssel (oder hat die Verbindung herabgestuft oder den Benutzer dazu gebracht, dem Zertifikat des Angreifers zu vertrauen. Durch die Verwendung eines zugrunde liegenden Tunnelprotokolls wird jedoch kein Angriff auf HTTPS erleichtert).
Außerdem senden Sie kein Passwort an den HTTPS-Server. Ein Passwort kann Teil der über den sicheren HTTPS-Kanal übertragenen Daten sein, für die HTTPS-Implementierung/Verbindung selbst wird jedoch kein Passwort verwendet.