Auteur Sujet: Fan de vieux mac chez MilkyWan ? (Lu 4253 fois)

vivien · « **le:** 29 octobre 2018 à 21:40:01 »

Je pense retirer dans quelques jour TLS 1.0 et 1.1 pour LaFibre.info

J'investigue donc pour savoir si cela pourrait bloquer des personnes, notamment sur le sujet https://lafibre.info/afrique/benin-taxe-reseaux-sociaux/ qui a été relayé en Afrique, où des vieux matériels peuvent être utilisés. J'ai regarde quand même les IP pour les vieux navigateurs et oh surprise !

Et je tombe sur ça : Sur 9 IPv4 de MilkyWan Un utilisateur de Chrome 11 sur MacOS 10.5.8 (cette version n'est pas compatible TLS 1.2)

Code: [Sélectionner]

178.208.12.xx 37643 443 [16/Sep/2018:10:02:16 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17605 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 42357 443 [15/Sep/2018:11:47:02 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17572 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 65264 443 [15/Sep/2018:11:48:12 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17570 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 9861 443 [15/Sep/2018:11:57:16 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17562 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 45836 443 [15/Sep/2018:12:03:40 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17568 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 37559 443 [15/Sep/2018:12:03:41 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17568 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 11936 443 [15/Sep/2018:13:59:27 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17564 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 37017 443 [15/Sep/2018:15:50:53 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17569 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"
178.208.12.xx 19938 443 [15/Sep/2018:20:13:36 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17563 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24"

A chaque fois l'IPv4 est différente. C'est normal des IP dynamiques chez MilkyWan (je pense qu'il y a peu de chance d'avoir 9 fan de Chrome 11 sur MacOS 10.5)

C'est un user agent modifié pour le fun ou c'est un vrai utilisateur ?

Si c'est un vrai utilisateur, c'est pas trop problématique de surfer avec un aussi vieux navigateur, qui est refusé par 1/4 des sites web https ?

Citation de: vivien le 16 septembre 2018 à 21:42:30

J'ai mis à jour le graphique.

Le point important, quand don regarde mois par mois, c'est qu'au mois de juin 7% des sites web ont supprimé le support de TLS 1.0

Cela montre que les recommandations du PCI Data Security Standard sont suivies par un nombre non négligeable de sites.

Les donnés de T3 2018 sont calculées à partir des données relevées pour juillet et août 2018 et des données évaluées en suivant la tendance pour septembre 2018.

Source des données : Qualys SSL Labs sur le 150 000 sites https les plus populaires

alain_p · « **Réponse #1 le:** 29 octobre 2018 à 21:46:54 »

Bah donc, c'est Hugues !

vivien · « **Réponse #2 le:** 29 octobre 2018 à 21:50:11 »

Il n'y a pas que des fan de Chrome 11 : il y a aussi un fan de Chrome 14 chez MilkyWan ! (c'est toujours sur la page "Bénin: Fin de la neutralité. Internet vers les services OTT est lourdement taxé", la seule page que j'analyse)

Chrome 14 est lui aussi compatible TLS 1.2

Chrome 14.0.803 :

Code: [Sélectionner]

178.208.12.xx 61641 443 [24/Sep/2018:14:28:19 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/msg578726/ HTTP/1.1" 200 13742 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.803.0 Safari/535.1"
178.208.12.xx 38190 443 [15/Sep/2018:15:54:48 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17567 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.803.0 Safari/535.1"
178.208.12.xx 15507 443 [15/Sep/2018:18:33:58 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17570 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.803.0 Safari/535.1"

Chrome 14.0.801 :

Code: [Sélectionner]

178.208.12.xx 57438 443 [15/Sep/2018:11:42:16 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17563 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.801.0 Safari/535.1\""
178.208.12.xx 44536 443 [15/Sep/2018:16:36:25 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17570 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.801.0 Safari/535.1\""

et un fan de Chrome 13 :

Code: [Sélectionner]

178.208.12.xx 29479 443 [23/Sep/2018:23:20:55 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/msg578726/ HTTP/1.1" 200 13744 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.31 (KHTML, like Gecko) Chrome/13.0.748.0 Safari/534.31"
178.208.12.xx 34217 443 [15/Sep/2018:13:59:27 +0200] "GET /afrique/benin-taxe-reseaux-sociaux/ HTTP/1.1" 200 17571 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.31 (KHTML, like Gecko) Chrome/13.0.748.0 Safari/534.31"

En tout cas je suis rassuré : tous les client du Bénin qui ont surfé sur ma page web avaient un navigateur compatible TLS 1.2
Tous ceux qui ont des navigateurs non compatible TLS 1.2 sont dans des AS qui ne sont pas des FAI grand public.

Il y a juste pour un utilisateur de CONGO TELECOM AS37451 (IP 197.157.254.xx) que je me pose la question : Safari 6.2 est inconnu de https://caniuse.com/#feat=tls1-2

Code: [Sélectionner]

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_5) AppleWebKit/600.8.9 (KHTML, like Gecko) Version/6.2.8 Safari/537.85.17

Hugues · « **Réponse #3 le:** 30 octobre 2018 à 01:07:33 »

Mais, 178.208.0.0/19 c'est pas un préfixe MilkyWan, c'est un préfixe Leonix Telecom.

Pour le reste, je ne sais pas ce que font mes clients chez Leonix, mais avec le parc qu'on a, tu trouveras forcèment quelques personnes avec des vieux Mac

vivien · « **Réponse #4 le:** 30 octobre 2018 à 07:03:07 »

Pourtant :

$ whois 178.208.12.1 | grep MI
mnt-by: MILKYWAN-MNT

vivien · « **Réponse #5 le:** 30 octobre 2018 à 07:31:56 »

Sinon, c'est un fan d'Apple. Sur la plage 178.208.12.0/24, j'ai regardé les log pour le mois de septembre : ces IP vont régulièrement sur le forum, mais jamais la moindre image n'est téléchargée. Ce ne sont que les page web sans la moindre image qui sont demandées.

Quand au user-agent, c'est varié : que des veilles version de Chrome

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/534.31 (KHTML, like Gecko) Chrome/13.0.748.0 Safari/534.31
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.66 Safari/535.11
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.19 (KHTML, like Gecko) Chrome/18.0.1025.151 Safari/535.19
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.801.0 Safari/535.1\"
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_8) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.803.0 Safari/535.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_0) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1200.0 Iron/21.0.1200.0 Safari/537.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_0) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_2) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_3) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.32 Safari/535.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_3) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.41 Safari/535.1
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_4) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.100 Safari/534.30
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_4) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_4) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.65 Safari/535.11
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_6) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.12 Safari/534.24
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_6) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.698.0 Safari/534.24
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_6) AppleWebKit/534.24 (KHTML, like Gecko) RockMelt/0.9.56.357 Chrome/11.0.696.71 Safari/534.24
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_6) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_7) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.68 Safari/534.24
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6) AppleWebKit/531.4 (KHTML, like Gecko) Version/4.0.3 Safari/531.4

Le user agent qui se termine avec " ce n'est pas une erreur, il est bien présent une dizaine de fois.

alain_p · « **Réponse #6 le:** 30 octobre 2018 à 08:00:14 »

Si le user agent se termine avec "ce n'est pas une erreur", c'est qu'il a été modifié ?

vivien · « **Réponse #7 le:** 30 octobre 2018 à 08:58:17 »

Oui, je n'y crois pas trop à toutes ces versions de Chrome.

On verra bien le 1er novembre, je ne laisse que TLS 1.2 et cette version ne le supporte pas.

Je vois aussi des Windows 95 dans mes log, le forum est uniquement en https et n'est accessible qu'a partir de navigateurs un peu récents. Internet Explorer 8 sous Windows XP ne fonctionne pas (mais Internet Explorer 8 avec Windows 7 fonctionne lui, car il support des protocoles plus modernes)

Bref, je ferais le point après la suppression de TLS 1.0 et TLS 1.1 des vieux navigateurs encore présents.
Ceux qui seront encore présent on aura la certitude d'un user agent modifié.

@hugues : généralement les IP avec des user-agent bidon sont souvent sur des IP de serveurs (OVH, Amazon AWS, Microsoft Azure,...) le début de la page 178.208.12. ce ne serait pas des serveurs ? (car en plus je vois ces user agent sur plusieurs IP du début de la plage)

Hugues · « **Réponse #8 le:** 30 octobre 2018 à 11:35:44 »

Citation de: vivien le 30 octobre 2018 à 07:03:07

Pourtant :

$ whois 178.208.12.1 | grep MI
mnt-by: MILKYWAN-MNT

Un objet mainteneneur ça ne veut rien dire. Faut que je le vire mais c'était pour pouvoir gérer tout depuis le même compte sans toucher au mainteneur MNT-LEONIX, mais c'est Legacy maintenant, faut que je repasse dessus.

En l'occurence les objets de Leonix ne sont pas forcèment à jour, c'est dans ma to do list, mais pas vraiment au dessus.

Gabi · « **Réponse #9 le:** 30 octobre 2018 à 12:18:44 »

Citation de: vivien le 30 octobre 2018 à 08:58:17

Oui, je n'y crois pas trop à toutes ces versions de Chrome.

[...]

@hugues : généralement les IP avec des user-agent bidon sont souvent sur des IP de serveurs (OVH, Amazon AWS, Microsoft Azure,...) le début de la page 178.208.12. ce ne serait pas des serveurs ? (car en plus je vois ces user agent sur plusieurs IP du début de la plage)

Ces User-Agent sont devenus bidons avec le temps, mais ils ne l'étaient pas à l'époque de Chrome 12, ...
Ca ressemble à des crawlers/scripts/bots dont le User-Agent a été claqué en dur à l'époque et n'a pas été modifié depuis.
Les libraires de scrapping (scrapy, node-fetch,...) et les headless browsers (PhantomJS, Puppeteer) ont par défaut un User-Agent qui les identifie, mais il est possible dans le code de le personnaliser. C'est donc bien possible que ce soit du code écrit à l'époque, avec l'intention de "cacher" le côté bot de la chose.

vivien · « **Réponse #10 le:** 30 octobre 2018 à 12:57:34 »

Oui, la personne qui surf sans jamais charger une image, c'est clairement pas un chrome.

On verra bien, je ferais le point de la présence des navigateurs legacy sans support de TLS 1.2 après la suppression de TLS 1.0 et TLS 1.1.

En analysant rapidement les user agent j'ai été étonné par le nombre de robots en tout genre que j'ai viré.