Moin!

CONNECT ist nach meiner Erkenntnis noch nicht wirklich ausgearbeitet (die eine Zeile in der RFC reserviert das Wort nur schonmal).

CONNECT wird normalerweise im Zusammenhang mit https verwendet. Da der Proxy den verschluesselten Datenstrom nicht versteht/verstehen darf, beschraenkt er sich darauf, die verschluesselten Rohdaten einfach durchzureichen. Dazu wird mit CONNECT vom Client so eine Durchreicheverbindung zum https-Server aufgebaut. Dann redet der Client "fast direkt" mit dem Server ganz normales http. Der Proxy funktioniert nun wie ein Router auf hoeherem Protokolllevel. Darin liegt auch seine Schwaeche: Auf diese Weise kann man theoretisch beliebige TCP-Verbindungen initiieren, woraus sich allerlei Missbrauchsmoeglichkeiten eroeffnen. Man muss dann durch entsprechende Konfiguration dafuer sorgen, dass z.B. nur Verbindungen zum Standard-https-Port (443) von innerhalb des durch Firewall abgeschotteten Netzwerks zugelassen werden.

So long