Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 12 paź 2018 10:25:16 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 470
Zastanawiam się nad możliwością rozwiązania problemu przekierowania dla niepłacących klientów w dobie HTTPS. Testowo postawiłem Binda, który zawsze zwraca wskazany IP, pod tym IP mam Apacha z komunikatem (narazie sprawdzam po HTTP czyli jest permanentne przekierowaniu z HTTPS na HTTP). I tutaj chyba pojawia się problem mechanizmów przeglądarki.

Czasem wchodząc na onet, wp, interia (raz nawet fb czy YT przeszło :) ) itp działa od razu i pokazuje mi się strona z komunikatem, a innym razem przeglądarka wskazuje, że jest coś nie tak z certyfikatem. W firefoxie gdy raz potwierdzę wyjątek, to potem w innych przypadkach przekierowanie leci bez problemu. Natomiast strony z HSTS wyrzucają komunikat i nic dalej nie da się zrobić.

Stąd moje pytanie czy takie rozwiązanie w ogóle się uda? Sądząc, że DNS zwraca mój IP więc przeglądarka odpytuje moje WW, to powinno zawsze działać, ale wydaje mi się, że tutaj decydującą rolę odgrywa cache, dane zapamiętane w przeglądarce.


Ostatnio zmieniony sob, 24 lis 2018 18:57:07 przez AlienMod, łącznie zmieniany 1 raz.

Na górę
Post: pt, 12 paź 2018 10:28:58 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3462
Lokalizacja: Mazury
Nie uda sie. Było to wałkowane.

_________________
# http://kazuko.pl ☚☜☚☜ automatyczna kopia zapasowa, aktualizacja i zmiana ustawień automatycznie


Na górę
Post: pt, 12 paź 2018 12:18:39 
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz
Awatar użytkownika

Rejestracja: czw, 10 lip 2008 23:36:54
Posty: 1715
Lokalizacja: okolice Rzeszowa
Potwierdzam, nie pyknie ;)

_________________
bitlan.com.pl


Na górę
Post: ndz, 14 paź 2018 15:48:24 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 19 lip 2009 10:41:45
Posty: 1124
niestety ale każdy https posiada własny certyfikat.

I owszem zadziała ci ale tylko raz dla danej strony o ile już wcześniej nie była dana strona odwiedzana.
Jeśli nie była odwiedzana nie ma dla niej certyfikatu i dlatego zadziała, ale tylko raz :]


Na górę
Post: ndz, 14 paź 2018 19:42:18 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 400
Ale co ty piszesz?
Co kontrola certyfikatu ma do tego, czy strona byla odwiedzana czy nie?
Zupelnie nic. Certyfikat jest sprawdzany dokladnie tak samo za kazdym razem i za kazdym polaczeniem.


Na górę
Post: ndz, 14 paź 2018 20:16:53 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 431
Lokalizacja: Łódź
No właśnie. Więc jeśli strona była odwiedzona i podmieniony certyfikat to przeglądarka od bodajże zeszłego roku powie że nie chu chu nie wejdzie bo coś jest nie tak.

Wysłane z mojego Neffos Y5s przy użyciu Tapatalka


Na górę
Post: ndz, 14 paź 2018 23:23:39 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 400
Ale kto podmieni certyfikat? Jak to odwiedzona strona?

Odwiedzenie strony wczesniej nie ma absolutnie żadnego znaczenia przy weryfikacji certyfikatu.
Zawsze sprawdzany jest ten, który jest aktualnie podawany. A sprawdzany jest z aktualną bazą CA, a nie z tym co przeglądarka pamięta/ma w cache.

Nie ważne czy wchodzimy na daną stronę pierwszy raz, czy już na niej byliśmy. Nic to nie zmienia. Zawsze sprawdzane jest czy certyfikat prezentowany aktualnie przy połączeniu jest prawidłowy.


Na górę
Post: pn, 15 paź 2018 7:40:32 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 431
Lokalizacja: Łódź
Kurcze nie wiem co oni tam w zeszłym czy dwa lata temu wprowadzili ale miało to związek z DNS+HTTPS i jeśli ppdmienisz to przeglądarka o tym wie.

Jednym słowem nie da się w dzisiejszych czasach podmieniać stron HTTPS a więc prawie większości

Wysłane z mojego Neffos Y5s przy użyciu Tapatalka


Na górę
Post: wt, 16 paź 2018 13:27:11 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 470
maly84 pisze:
Nie ważne czy wchodzimy na daną stronę pierwszy raz, czy już na niej byliśmy. Nic to nie zmienia. Zawsze sprawdzane jest czy certyfikat prezentowany aktualnie przy połączeniu jest prawidłowy.


Cahe przeglądarki nie ma znaczenia?
W moim przykładzie DNS zwraca zawsze ten sam IP, przeglądarka dostaje IP i pyta o stronę. Sugerujesz, że już na tym etapie przeglądarka zna certyfikat np wp.pl przez co spodziewa się czegoś innego, a dostaje co innego?

Pytam, ponieważ podczas testów kilkukrotnie zdarzało się, że z powodzeniem zostałem przekierowany na swój serwer, a co więcej, gdy w Firefoxie dodałem wyjątek, to potem nie było żadnych problemów przy następnych odwiedzinach. Inaczej jest w przypadku stron z HSTS bo tutaj przeglądarka od razu wie, że połączenie musi być szyfrowane i wtedy każda przeglądarka zwraca błąd bez możliwości interakcji z użytkownikiem.

Oczywiście wnioski z testów są takie, że duży lipton, więc nic z tego nie będzie :)


Na górę
Post: wt, 16 paź 2018 13:49:32 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 400
Cytuj:
W moim przykładzie DNS zwraca zawsze ten sam IP, przeglądarka dostaje IP i pyta o stronę. Sugerujesz, że już na tym etapie przeglądarka zna certyfikat np wp.pl przez co spodziewa się czegoś innego, a dostaje co innego?

Tak troche...
Przeglądarka spodziewa się certyfikatu wp.pl podpisanego przez zaufane centrum, które ma w swojej bazie (lub bierze z OSa).
Jeśli Ty wystawisz certyfikat to nie będzie on zaufany dla niej. Nie ważne czy dostanie go za pierwszym czy za innym razem.

To, że Ci się udaje wynika prawdopodobnie z tego, ze w przeglądarce wpisujesz: wp.pl
I wtedy prawdopodobnie za pierwszym razem przeglądarka próbuje wejść na http://wp.pl, a nie na https://wp.pl
Jeśli wpiszesz https://wp.pl - certyfikat zawsze jest sprawdzany.


Na górę
Post: czw, 18 paź 2018 21:46:04 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 04 gru 2008 23:18:41
Posty: 465
AlienMod pisze:
maly84 pisze:
Nie ważne czy wchodzimy na daną stronę pierwszy raz, czy już na niej byliśmy. Nic to nie zmienia. Zawsze sprawdzane jest czy certyfikat prezentowany aktualnie przy połączeniu jest prawidłowy.


Cahe przeglądarki nie ma znaczenia?
W moim przykładzie DNS zwraca zawsze ten sam IP, przeglądarka dostaje IP i pyta o stronę. Sugerujesz, że już na tym etapie przeglądarka zna certyfikat np wp.pl przez co spodziewa się czegoś innego, a dostaje co innego?

Pytam, ponieważ podczas testów kilkukrotnie zdarzało się, że z powodzeniem zostałem przekierowany na swój serwer, a co więcej, gdy w Firefoxie dodałem wyjątek, to potem nie było żadnych problemów przy następnych odwiedzinach. Inaczej jest w przypadku stron z HSTS bo tutaj przeglądarka od razu wie, że połączenie musi być szyfrowane i wtedy każda przeglądarka zwraca błąd bez możliwości interakcji z użytkownikiem.

Oczywiście wnioski z testów są takie, że duży lipton, więc nic z tego nie będzie :)


Poprzez dodanie wyjątku zaakceptowałeś niepoprawny certyfikat i Twoja przeglądarka zaczeła mu ufać, dlatego nie miałeś komunikatu.
Certyfikaty są wystawiane albo na IP albo na nazwe, więc jak jest inny - a będzie inny bo przeglądarka ma przekierowanie z wp na naszego hosta to będzie błąd.
Wywołując https://www.wp.pl, przeglądarka spodziewa się certyfikatu z wp a dostaje nasz niezaufany i sypie błędem, to raz. Dwa - można dojść do sytuacji w której do naszego hosta - strony z komunikatem wgrać cert zaufany, ale wtedy sypnie też błędem, w stylu, cert jest ok, ale wystawiony dla innej witryny czy chcesz kontynuować, bo przecież spodziewa się wp a dostaje nasz, nie ważne, że zaufany, ale przecież różny.

Generalnie się nie da :)


Na górę
Post: sob, 24 lis 2018 18:58:04 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 470
A z proxy może to działać? Podobno na ispforum jest patent jak to zrobić z webproxy + hotspot.


Na górę
Post: ndz, 25 lis 2018 17:09:47 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: czw, 17 cze 2010 11:12:20
Posty: 802
Lokalizacja: RP
intrux sobie z tym radzi :P

_________________
Administrator sieci komputerowych


Na górę
Post: ndz, 25 lis 2018 17:13:37 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 431
Lokalizacja: Łódź
marbi pisze:
intrux sobie z tym radzi :P
Z czym? Przekierowaniem HTTPS? No to nie koniecznie legalne bo to ingerencja i podsłuchiwanie pakietów ;)

Wysłane z mojego Neffos Y5s przy użyciu Tapatalka


Na górę
Post: ndz, 25 lis 2018 18:35:54 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 470
A jak to wygląda z HSTS? Wchodzimy na FB, a przeglądarka dostaje przekierowanie na np https://blokada.pl - będzie działać czy wywali błąd bo inna strona niż spodziewana?


Na górę
Post: ndz, 25 lis 2018 19:25:29 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 366
Wywali błąd i nie puści. Po to HTTPS by jakiś operator nie mógł sobie podmieniać treści na stronach.


Wysłane z iPhone za pomocą Tapatalk


Na górę
Post: ndz, 25 lis 2018 19:43:34 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 400
thekrzos pisze:
Wywali błąd i nie puści. Po to HTTPS by jakiś operator nie mógł sobie podmieniać treści na stronach.


Niby masz rację, ale używałeś kiedyś hotspota? :) Tu jest pare mechanizmów, które pozwalają na taki przekręt. Nie działa to w 100%, ale efekt jest całkiem niezły.


Na górę
Post: ndz, 25 lis 2018 21:23:01 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 470
maly84 pisze:
thekrzos pisze:
Wywali błąd i nie puści. Po to HTTPS by jakiś operator nie mógł sobie podmieniać treści na stronach.


Niby masz rację, ale używałeś kiedyś hotspota? :) Tu jest pare mechanizmów, które pozwalają na taki przekręt. Nie działa to w 100%, ale efekt jest całkiem niezły.


Tzn? Masz takie cos wdrozone? Co np jesli klient z zaleglosciami bedzie chcial wejsc na FB czy YT? Dostanie strone z komunikatem czy info, zw cos jest nie tak?


Na górę
Post: wt, 27 lis 2018 19:25:32 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3462
Lokalizacja: Mazury
marbi pisze:
intrux sobie z tym radzi :P

System zarządzania nie ma nic do tego, bo przekierowanie zrobisz na każdym systemie. Tylko że po przekierowani https`a wyskoczy informacja o błędnym certyfikacje, a tego to intrux na pewno nie potrafi obejść.

Co do Hotspota, to jest mechanizm zaimplementowany w przeglądarce i jest legalny.

Osobiście to mam to w du.. czy dla klienta pokaże się komunikat na https czy nie, nie płaci to ma za swoje. Zadzwoni, zapyta się to ktoś zawsze przez tel. poinformuje i w następnym miesiącu będzie pamiętał.
Ja jak mam do opłaty rachunki to mam kase przygotowaną. Obowiązku nie ma aby mieć internet, a jak chce się korzystać to trzeba płacić. :)

_________________
# http://kazuko.pl ☚☜☚☜ automatyczna kopia zapasowa, aktualizacja i zmiana ustawień automatycznie


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest ndz, 16 gru 2018 5:36:24

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl