Quero usar um proxy de cache para forçar todas as conexões da minha página por SSL e permitir que a conexão insegura seja tratada pelo proxy.
Este proxy pode ser acessado pela web.
Agora eu queria saber o que está impedindo alguém de usar esse proxy?
Basicamente, o que preciso fazer é exibir o conteúdo do email em um navegador e os ativos incorporados devem ser proxy por SSL, como https://myproxy.com?url=http%3A%2F%2Funsecure.com%2Fa.png.
Responder1
Se bem entendi, você está exibindo conteúdo de e-mail de terceiros em seu site (ou seja, seu sistema baixa e-mail e o exibe em uma página da web). Você deve ter muito cuidado com os riscos de XSS ao fazer isso e escapar e renderizar adequadamente o conteúdo que recebe. É muito mais fácil falar do que fazer, especialmente se você deseja que os e-mails mantenham sua aparência geral.
O GMail, por exemplo, oculta todo o conteúdo de terceiros por padrão e se você optar por carregá-lo, o navegador mostrará um sinal de alerta sobre a indicação de “conexão segura”. Se você decidir fazer isso, usar um domínio separado seria uma boa ideia. “É bom o suficiente para o Google” provavelmente seria uma justificativa decente para um cliente.
Nada impede que alguém use seu proxy para qualquer tipo de conteúdo se você implementá-lo de forma ingênua. Você pode adicionar algum tipo de autenticação HTTP ao servidor que faz o proxy (com base em cookies, autenticação HTTP ou certificados do lado do cliente TLS). Em um ambiente normal, baseado em cookies é provavelmente a única opção que faz sentido. Alternativas mais sofisticadas envolveriam a análise de e-mail, a extração de recursos vinculados e a reescrita de URLs para que seu proxy receba apenas solicitações de proxy especialmente criadas e não qualquer coisa que seus usuários coloquem na barra de URL.
Se você explicar o uso geral e a funcionalidade do sistema que está construindo, poderei propor uma solução melhor.