Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 12 paź 2018 10:25:16 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 463
Zastanawiam się nad możliwością rozwiązania problemu przekierowania dla niepłacących klientów w dobie HTTPS. Testowo postawiłem Binda, który zawsze zwraca wskazany IP, pod tym IP mam Apacha z komunikatem (narazie sprawdzam po HTTP czyli jest permanentne przekierowaniu z HTTPS na HTTP). I tutaj chyba pojawia się problem mechanizmów przeglądarki.

Czasem wchodząc na onet, wp, interia (raz nawet fb czy YT przeszło :) ) itp działa od razu i pokazuje mi się strona z komunikatem, a innym razem przeglądarka wskazuje, że jest coś nie tak z certyfikatem. W firefoxie gdy raz potwierdzę wyjątek, to potem w innych przypadkach przekierowanie leci bez problemu. Natomiast strony z HSTS wyrzucają komunikat i nic dalej nie da się zrobić.

Stąd moje pytanie czy takie rozwiązanie w ogóle się uda? Sądząc, że DNS zwraca mój IP więc przeglądarka odpytuje moje WW, to powinno zawsze działać, ale wydaje mi się, że tutaj decydującą rolę odgrywa cache, dane zapamiętane w przeglądarce.


Na górę
Post: pt, 12 paź 2018 10:28:58 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3431
Lokalizacja: Mazury
Nie uda sie. Było to wałkowane.

_________________
# http://kazuko.pl ☚☜☚☜


Na górę
Post: pt, 12 paź 2018 12:18:39 
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz
Awatar użytkownika

Rejestracja: czw, 10 lip 2008 23:36:54
Posty: 1712
Lokalizacja: okolice Rzeszowa
Potwierdzam, nie pyknie ;)

_________________
bitlan.com.pl


Na górę
Post: ndz, 14 paź 2018 15:48:24 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 19 lip 2009 10:41:45
Posty: 1084
niestety ale każdy https posiada własny certyfikat.

I owszem zadziała ci ale tylko raz dla danej strony o ile już wcześniej nie była dana strona odwiedzana.
Jeśli nie była odwiedzana nie ma dla niej certyfikatu i dlatego zadziała, ale tylko raz :]


Na górę
Post: ndz, 14 paź 2018 19:42:18 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 392
Ale co ty piszesz?
Co kontrola certyfikatu ma do tego, czy strona byla odwiedzana czy nie?
Zupelnie nic. Certyfikat jest sprawdzany dokladnie tak samo za kazdym razem i za kazdym polaczeniem.


Na górę
Post: ndz, 14 paź 2018 20:16:53 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 415
Lokalizacja: Łódź
No właśnie. Więc jeśli strona była odwiedzona i podmieniony certyfikat to przeglądarka od bodajże zeszłego roku powie że nie chu chu nie wejdzie bo coś jest nie tak.

Wysłane z mojego Neffos Y5s przy użyciu Tapatalka


Na górę
Post: ndz, 14 paź 2018 23:23:39 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 392
Ale kto podmieni certyfikat? Jak to odwiedzona strona?

Odwiedzenie strony wczesniej nie ma absolutnie żadnego znaczenia przy weryfikacji certyfikatu.
Zawsze sprawdzany jest ten, który jest aktualnie podawany. A sprawdzany jest z aktualną bazą CA, a nie z tym co przeglądarka pamięta/ma w cache.

Nie ważne czy wchodzimy na daną stronę pierwszy raz, czy już na niej byliśmy. Nic to nie zmienia. Zawsze sprawdzane jest czy certyfikat prezentowany aktualnie przy połączeniu jest prawidłowy.


Na górę
Post: pn, 15 paź 2018 7:40:32 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 415
Lokalizacja: Łódź
Kurcze nie wiem co oni tam w zeszłym czy dwa lata temu wprowadzili ale miało to związek z DNS+HTTPS i jeśli ppdmienisz to przeglądarka o tym wie.

Jednym słowem nie da się w dzisiejszych czasach podmieniać stron HTTPS a więc prawie większości

Wysłane z mojego Neffos Y5s przy użyciu Tapatalka


Na górę
Post: wt, 16 paź 2018 13:27:11 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: ndz, 22 sie 2010 19:16:29
Posty: 463
maly84 pisze:
Nie ważne czy wchodzimy na daną stronę pierwszy raz, czy już na niej byliśmy. Nic to nie zmienia. Zawsze sprawdzane jest czy certyfikat prezentowany aktualnie przy połączeniu jest prawidłowy.


Cahe przeglądarki nie ma znaczenia?
W moim przykładzie DNS zwraca zawsze ten sam IP, przeglądarka dostaje IP i pyta o stronę. Sugerujesz, że już na tym etapie przeglądarka zna certyfikat np wp.pl przez co spodziewa się czegoś innego, a dostaje co innego?

Pytam, ponieważ podczas testów kilkukrotnie zdarzało się, że z powodzeniem zostałem przekierowany na swój serwer, a co więcej, gdy w Firefoxie dodałem wyjątek, to potem nie było żadnych problemów przy następnych odwiedzinach. Inaczej jest w przypadku stron z HSTS bo tutaj przeglądarka od razu wie, że połączenie musi być szyfrowane i wtedy każda przeglądarka zwraca błąd bez możliwości interakcji z użytkownikiem.

Oczywiście wnioski z testów są takie, że duży lipton, więc nic z tego nie będzie :)


Na górę
Post: wt, 16 paź 2018 13:49:32 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: śr, 04 cze 2014 16:36:16
Posty: 392
Cytuj:
W moim przykładzie DNS zwraca zawsze ten sam IP, przeglądarka dostaje IP i pyta o stronę. Sugerujesz, że już na tym etapie przeglądarka zna certyfikat np wp.pl przez co spodziewa się czegoś innego, a dostaje co innego?

Tak troche...
Przeglądarka spodziewa się certyfikatu wp.pl podpisanego przez zaufane centrum, które ma w swojej bazie (lub bierze z OSa).
Jeśli Ty wystawisz certyfikat to nie będzie on zaufany dla niej. Nie ważne czy dostanie go za pierwszym czy za innym razem.

To, że Ci się udaje wynika prawdopodobnie z tego, ze w przeglądarce wpisujesz: wp.pl
I wtedy prawdopodobnie za pierwszym razem przeglądarka próbuje wejść na http://wp.pl, a nie na https://wp.pl
Jeśli wpiszesz https://wp.pl - certyfikat zawsze jest sprawdzany.


Na górę
Post: czw, 18 paź 2018 21:46:04 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: czw, 04 gru 2008 23:18:41
Posty: 464
AlienMod pisze:
maly84 pisze:
Nie ważne czy wchodzimy na daną stronę pierwszy raz, czy już na niej byliśmy. Nic to nie zmienia. Zawsze sprawdzane jest czy certyfikat prezentowany aktualnie przy połączeniu jest prawidłowy.


Cahe przeglądarki nie ma znaczenia?
W moim przykładzie DNS zwraca zawsze ten sam IP, przeglądarka dostaje IP i pyta o stronę. Sugerujesz, że już na tym etapie przeglądarka zna certyfikat np wp.pl przez co spodziewa się czegoś innego, a dostaje co innego?

Pytam, ponieważ podczas testów kilkukrotnie zdarzało się, że z powodzeniem zostałem przekierowany na swój serwer, a co więcej, gdy w Firefoxie dodałem wyjątek, to potem nie było żadnych problemów przy następnych odwiedzinach. Inaczej jest w przypadku stron z HSTS bo tutaj przeglądarka od razu wie, że połączenie musi być szyfrowane i wtedy każda przeglądarka zwraca błąd bez możliwości interakcji z użytkownikiem.

Oczywiście wnioski z testów są takie, że duży lipton, więc nic z tego nie będzie :)


Poprzez dodanie wyjątku zaakceptowałeś niepoprawny certyfikat i Twoja przeglądarka zaczeła mu ufać, dlatego nie miałeś komunikatu.
Certyfikaty są wystawiane albo na IP albo na nazwe, więc jak jest inny - a będzie inny bo przeglądarka ma przekierowanie z wp na naszego hosta to będzie błąd.
Wywołując https://www.wp.pl, przeglądarka spodziewa się certyfikatu z wp a dostaje nasz niezaufany i sypie błędem, to raz. Dwa - można dojść do sytuacji w której do naszego hosta - strony z komunikatem wgrać cert zaufany, ale wtedy sypnie też błędem, w stylu, cert jest ok, ale wystawiony dla innej witryny czy chcesz kontynuować, bo przecież spodziewa się wp a dostaje nasz, nie ważne, że zaufany, ale przecież różny.

Generalnie się nie da :)


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest pn, 22 paź 2018 20:09:08

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl