La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: vivien le 16 septembre 2013 à 22:20:20
-
En http, il est facile de limiter a un nom de domaine.
En https, je ne sais pas faire. En https, il faut une IP publique par nom de domaine hébergé (enfin il me semble)
-
En http, il est facile de limiter a un nom de domaine.
En https, je ne sais pas faire. En https, il faut une IP publique par nom de domaine hébergé (enfin il me semble)
Yes, tu peux mettre des sous-domaines et un certificat wildcard.
Ou utiliser en plus une autre adresse ip.
-
En http, il est facile de limiter a un nom de domaine.
Oui, et le HTTPS est du HTTP sur un transport sécurisé.
En https, je ne sais pas faire.
De la même manière.
En https, il faut une IP publique par nom de domaine hébergé (enfin il me semble)
Pourquoi donc?
-
Le certificat https est lié au domaine qui est lié à l'adresse IP.
On ne peut pas dans le cas d'https utiliser l'entête de présentation de la requête ssl.
sauf si....
http://wiki.gandi.net/fr/ssl/multiplecertononehostipport (http://wiki.gandi.net/fr/ssl/multiplecertononehostipport)
-
Là le but n'est pas d'avoir plusieurs nom de domaine sur une même IP mais de limiter la visibilité du site au seul nom de domaine demandé. C'est dans une optique d'augmenter la sécurité.
Pour le https j'ai déclaré dans apache2
<VirtualHost *:443>
ServerName lafibre.info
Mais il répond pour n'importe quel ServerName.
On est obligé de mettre un site en défaut pour ne pas avoir de réponse pour toutes les URL ?
(mon but est qu'on ne puisse pas tomber sur le site avec une autre url que lafibre.info)
C'est ce que j'ai fais en http : j'ai mis un site par défaut => http://46.227.16.8/ (http://46.227.16.8/) (un page qui indique qu'il n'y a rien)
Comme ça les attaques de base type "GET /phpmyadmin/scripts/setup.php" vont sur ce site qui n'a rien et c'est ça de moins vers le vrai site.
J'ai aussi des petits malin qui me font des "GET https://www.google.com/ (https://www.google.com/)" sur l'IP... Je sais pas trop le but de l'opération, mais je préfère que cela tombe sur une page vide que sur un site avec de l'URL rewriting comme lafibre.info
Un petit malin pas très malin en fait...
187.162.211.98 - - [02/Jun/2013:08:22:15 +0200] "GET /admin/main.php HTTP/1.0" 404 376 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:15 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 381 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:16 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 404 381 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:16 +0200] "GET /db/main.php HTTP/1.0" 404 373 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:16 +0200] "GET /PMA/main.php HTTP/1.0" 404 374 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:17 +0200] "GET /pma/main.php HTTP/1.0" 404 374 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:17 +0200] "GET /admin/main.php HTTP/1.0" 404 376 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:17 +0200] "GET /mysql/main.php HTTP/1.0" 404 376 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:18 +0200] "GET /myadmin/main.php HTTP/1.0" 404 378 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:18 +0200] "GET /phpadmin/main.php HTTP/1.0" 404 379 "-" "-"
187.162.211.98 - - [02/Jun/2013:08:22:18 +0200] "GET /webadmin/main.php HTTP/1.0" 404 379 "-" "-"
Phpmyadmin est sur une url bien spéciale (non générique) avec un mot de passe apache en plus de celui de MySQL...
-
J'ai aussi des petits malin qui me font des "GET https://www.google.com/ (https://www.google.com/)" sur l'IP... Je sais pas trop le but de l'opération,
Trouver un proxy HTTP?
-
Le certificat https est lié au domaine qui est lié à l'adresse IP.
On ne peut pas dans le cas d'https utiliser l'entête de présentation de la requête ssl.
sauf si....
http://wiki.gandi.net/fr/ssl/multiplecertononehostipport (http://wiki.gandi.net/fr/ssl/multiplecertononehostipport)
46.227.16.8 n'est pas une machine d'hébergement mutualisé.
Les différents sites lafibre.info, www.lafibre.info et ipv4.lafibre.info ne sont pas des sites indépendants. S'ils devaient tous passer en HTTPS, il suffirait de mettre un seul certificat avec *.lafibre.info ou en utilisant altName.
-
J'ai fais des essais ce matin. Si je tente de configurer un page vide en https par défaut, il refuse d'avoir un autre site..
En chargeant apache2 j'ai le warning suivant :
[Tue Sep 17 06:34:30 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
Et https://lafibre.info ne se charge pas.
-
Tu ne peux pas déclarer un autre vhost en https sur la même adresse,
mais ce que tu veux faire c 'est un vhost ipv6 ssl?
-
_default_ VirtualHost
Tu dois mettre l'ipV6 si tu veux (avec les mêmes certificats)
-
Pour IPv6 ce qui bloque, c'est SMF qui n'est pas encore prêt (ça sera dans la prochaine version) donc je n'ai pas mis de AAAA pour lafibre.info (par contre le SpeedTest est sur un autre nom de domaine lyon.lafibre.info donc il est possible de mettre IPv6 pour le SpeedTest.net)
Ce qui je cherche à faire c'est que le site soit pas accessible via https://46.227.16.8/ (https://46.227.16.8/) principalement pour des raisons de sécurité
En http c'est déjà le cas : http://46.227.16.8/ (http://46.227.16.8/)
en http j'ai déclaré un vhost pour la page http://46.227.16.8/ (http://46.227.16.8/) (qui se prend le gros des attaques) et j'aimerais faire la même chose pour https.
-
il y a une option dans apache pour les vhost en https
http://stackoverflow.com/questions/10658017/apache-error-default-virtualhost-overlap-on-port-443 (http://stackoverflow.com/questions/10658017/apache-error-default-virtualhost-overlap-on-port-443)
normalement après tu devrais pouvoir héberger plusieurs vhost https sans problèmes
j'en ai 2 sur mon serveur
-
Server Name Indication for SSL named virtual hosts is currently not supported by MSIE on Windows XP.
Bon, je vais éviter de faire la modif car dans ce cas là impossible d'accéder à la fibre avec Windows XP et IE vu que le https est la seule solution pour le forum.
-
Server Name Indication for SSL named virtual hosts is currently not supported by MSIE on Windows XP.
Qu'est-ce qu'on s'en fout?
-
(https://lafibre.info/testdebit/windowsxp/201308_stats_systemes_exploitation_monde.png)
Sachant que beaucoup de sociétés françaises imposent Windows XP + IE8 (en mode de compatibilité IE6 pour l'intranet).
Windows XP + IE est un trafic aujourd'hui non négligeable.
-
Pour IPv6 ce qui bloque, c'est SMF qui n'est pas encore prêt (ça sera dans la prochaine version)
En effet, il y a un petit problème :
Depuis que je poste via IPv6, mon adresse ne s'affiche plus sous mes messages!
Je un ANONYMOUS! Yeah!
-
(https://lafibre.info/testdebit/windowsxp/201308_stats_systemes_exploitation_monde.png)
Je suppose qu'il s'agit des parts de marché des OS en "desktop"?
-
iOS c'est pas du desktop...
C'est des stats sur le surf web mondial. (ok Windows XP est plus bas en France)
-
iOS c'est pas du desktop...
Et alors ? On a pas le droit de venir sur le forum avec notre portable ?
Bon bah je viens plus moi alors ...
-
iOS c'est pas du desktop...
Les iPad ne se substituent pas un peu au PC?
-
J'ai aussi des petits malin qui me font des "GET https://www.google.com/ (https://www.google.com/)" sur l'IP... Je sais pas trop le but de l'opération, mais je préfère que cela tombe sur une page vide que sur un site avec de l'URL rewriting comme lafibre.info
Why do I see requests for foreign sites appearing in my log files?
An access_log entry showing this situation could look like this:
63.251.56.142 - - [25/Jul/2002:12:48:04 -0700] "GET http://www.yahoo.com/ (http://www.yahoo.com/) HTTP/1.0" 200 1456
For this log line, the 200 code (second to last field in this example) indicates that the request was successful – but see below for an explanation of what “success” means in this situation.
This is usually the result of malicious clients trying to exploit open proxy servers to access a website without revealing their true location. They could be doing this to manipulate pay-per-click ad systems, to add comment or link-spam to someone else's site, or just to do something nasty without being detected.
It is important to prevent your server from being used as an open proxy to abuse other sites.
How can I prevent these requests from accessing the foreign server through my server?
First, if you don't need to run a proxy server, disable mod_proxy by commenting out its LoadModule line or setting ProxyRequests off in httpd.conf. Remember that disabling ProxyRequests does not prevent you from using a reverse proxy with the ProxyPass directive.
If you do need to have Apache act as a proxy server, be sure to secure your server by restricting access with a <Proxy> section in httpd.conf.
http://wiki.apache.org/httpd/ProxyAbuse (http://wiki.apache.org/httpd/ProxyAbuse)
-
J'ai fais des essais ce matin. Si je tente de configurer un page vide en https par défaut, il refuse d'avoir un autre site..
En chargeant apache2 j'ai le warning suivant :
[Tue Sep 17 06:34:30 2013] [warn] _default_ VirtualHost overlap on port 443, the first has precedence
Et https://lafibre.info ne se charge pas.
Tu n'as pas oublié la directive NameVirtualHost?
-
Le lien de butler_fr a bien expliqué le problème : c'est une compatibilité pour IE sous Windows XP :
il y a une option dans apache pour les vhost en https
http://stackoverflow.com/questions/10658017/apache-error-default-virtualhost-overlap-on-port-443 (http://stackoverflow.com/questions/10658017/apache-error-default-virtualhost-overlap-on-port-443)
normalement après tu devrais pouvoir héberger plusieurs vhost https sans problèmes
j'en ai 2 sur mon serveur
butler_fr, si ton serveur est public je suis intéressé pour faire un test sur tes vhost https avec IE 8 sous Windows XP
-
https://smokeping.**.fr
https://owncloud.**.fr
tu veux que je te passe la config des vhosts?
-
Par défault (IP) on tombe sur owncloud.
Sur IE8 sous Windows XP les deux fonctionnent mais les deux affiche un pb de sécurité alors que sous Firefox seul le deuxième a un certificat non valide.
-
alors normalement aucun de mes certificats ne sont valides. (ou alors faut prévenir firefox parce que de l'auto signé valide ::) )
et oui owncloud arrive par défaut je viens de m'en apercevoir, je ne sais pas ce qui provoque ce comportement....
(je cherche ^^)
-
voila vhost par défaut activé avec restriction de tout ce qui n'est pas sur les vhost
-
et tu as fait comment ?
-
j'ai édité les vhost defaut et defaut-ssl présents dans site-available
/etc/apache2/sites-available/default
<VirtualHost *:80>
ServerAdmin webmaster@localhost
<Directory /var/www/>
Deny from all
</Directory>
DocumentRoot /var/www
ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
même principe pour le defaut-ssl avec gestion du certificat en plus
edit
bien sur il faut activer les 2 avec a2ensite
-
Le défaut pour le http ok par contre pour celui sur le port 443 tu es obligé de mettre un certificat ? (dans mon test j'avais juste recopié celui sur le port 80)
-
alors la... absolument aucune idée :P
moi je l'ai laissé tel que je l'ai trouvé, ça risque juste de te mettre un avertissement comme quoi le site n'est pas sécurisé, mais bon après vus que tu vas tombé sur une page de blocage de toute façon..... (dans mon cas)
-
Le défaut pour le http ok par contre pour celui sur le port 443 tu es obligé de mettre un certificat ? (dans mon test j'avais juste recopié celui sur le port 80)
Bien sûr, le même certificat!
Pourquoi tu ne postes pas le fichier httpd.conf?
-
httpd.conf n'est plus utilisé par apache2
il est remplacé par /etc/apache2/apache2.conf
et
quel est l’intérêt de le poster?
je n'y ai jamais touché depuis que j'ai mon serveur
-
httpd.conf c'est une façon de parler.
Je voudrais voir celui de lafibre.info.
-
le fichier de conf du vhost de lafibre.info quoi?
-
Le fichier qui fait que ça ne marche pas comme voulu!
-
Pour moi il n'y a pas de pb, c'est pour une compatibilité IE WinXP que cela répond.
Voila le fichier de conf :
<VirtualHost *:443>
ServerName lafibre.info
SSLEngine on
SSLProtocol -all +SSLv3 +TLSv1
SSLCipherSuite RC4-SHA:HIGH:!aNULL:!MD5
SSLHonorCipherOrder On
SSLCertificateFile /etc/ssl/lafibre.crt
SSLCertificateKeyFile /etc/ssl/lafibre.key
SSLCertificateChainFile /etc/ssl/sub.class1.server.ca.pem
SSLCACertificateFile /etc/ssl/ca.pem
SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown
DocumentRoot "/home/www/lafibre.info/www"
<Directory "/home/www/lafibre.info/www/">
Order Allow,Deny
Allow from all
Options FollowSymLinks
AllowOverride all
</Directory>
ErrorLog /home/log/lafibre.info/error.log
LogLevel warn
CustomLog /home/log/lafibre.info/access.log combined
</VirtualHost>
-
Et sur tes stats, quand est-il des winxp ? Y'a une part importante, ou pas ?
-
Sur les 30 derniers jours :
1. Chrome 35,29 %
2. Firefox 29,28 %
3. Safari 14,63 %
4. Internet Explorer 12,75 %
5. Android Browser 4,02 %
6. Mozilla Compatible 1,40 %
7. Opera 1,27 %
Quand on découpe les 12,75% de Internet Explorer on a :
IE 10.0 45,06 %
IE 8.0 31,13 %
IE 9.0 19,06 %
IE 7.0 4,44 %
IE 6.0 0,31 %
Coté système d'exploitation :
1. Windows 67,78 %
2. iOS 11,14 %
3. Macintosh 9,22 %
4. Android 7,29 %
5. Linux 3,99 %
6. Windows Phone 0,21 %
windows se décompose en :
1. 7 64,58 %
2. XP 15,77 %
3. 8 13,95 %
4. Vista 5,51 %
Voici le navigateurs utilisé par ceux qui sont sous Windows XP :
1. XP Firefox 45,39 %
2. XP Chrome 28,64 %
3. XP Internet Explorer 24,52 %
4. XP Opera 0,65 %
5. XP IE with Chrome Frame 0,55 %
-
Ca fait 2.6% de gens sous winxp qui utilisent IE, toutes versions confondu, si je ne m'abuse
Au final, c'est rien 8)
-
D'autant qu'il n'y a aucun problème avec IE!
-
D'autant qu'il n'y a aucun problème avec IE!
Haha, sacré blagueur!
-
Aucun problème qui impacte lafibre.info.
-
Oui LaFibre.info est 100% compatible avec IE8 + Windows XP (a part les alertes a chaques fois qu'il y a une image http)
Il y a du code spécifique IE dans SMF.
Avec IE6, par contre, il y a le problème des PNG transparent non pris en charge et j'utilise pas mal de PNG pour les logo.
Mais quel souci de rester comme aujourd'hui ?
Je pense que les attaques se font principalement en http et non https...
-
Oui LaFibre.info est 100% compatible avec IE8 + Windows XP (a part les alertes a chaques fois qu'il y a une image http)
Oui, c'est insupportable et ridicule.