Перейти до

Редірект користувачів https!


Рекомендованные сообщения

Цікавить хто як реалізував редірект боржників при наступній ситуації:

 

Більшість юзерів користуються хромом, і в ньому по дефолту в основному, всьо що пишеться в адресній строці шукає через гугле, який працює по https.

 

таке правило не спрацьовує ${FwCMD} add 6 fwd 127.0.0.1,80 ip from table\(47\) to not me dst-port 443.

 

Відповідно треба піднімати в себе на апачі https і 443 порт переадресовувати на свій 443 (${FwCMD} add 6 fwd 127.0.0.1,443 ip from table\(47\) to not me dst-port 443)

 

Але в такому випадку браузер сповіщає про підміну сертифікату.

 

Отож, може хтось має рецепти як побороти редірект https

 

 

Ссылка на сообщение
Поделиться на других сайтах

HTTPS для того и придуман, что б запретить возможность подмены адреса сайта или содержимого страницы. Редирект без варнингов не получится.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Так як би ж то були варнінги з моливістю продовжити. Хром сповіщає про підміну і рекомендує тіки обновити сторінку - відповідно при таких розкладах юзер ніколи не побачить сторінку "дай бабла". Чув ще про варіант ставити squid, але не знаю чи не буде глюків з ubilling, якшо ще на сервак squid причепити (все поки шо на одному серваку).

 

- Щось не віриться що ніхто нічого не придумав на цей випадок....

Відредаговано chinhis
Ссылка на сообщение
Поделиться на других сайтах

у меня на заглушке есть пару ссылок для проверки инета сделанные для случая когда хором например очень любит закешировать страницу так что даже после пополнения заглушку выкидывает все равно. Все они на https сайты, google например. Вроде эффект есть  за год юзания ни разу не позвонил за не корректную работу заглушки.  По моему эту задачу можно частично решить с помощью squid.

Ссылка на сообщение
Поделиться на других сайтах

теоритически должно сработать, создать файл .htaccess еще с 1 редиректом на страницу с 80 портом

Відредаговано Demid
Ссылка на сообщение
Поделиться на других сайтах

Не спрацює ! Браузер не прийме ніяких даних через невалідний сертифікат.

 

Як зараз розшифровується HTTPS для наприклад фаєрфокса

 

рівень 1 - локальна машина

 

Програма-антивірус, типу касперського дописує свій сертифікат в довірені кореневі сертифікати вндовс,

Коли браузер звертається до google.com, програма на льоту формує сертифікат для google.com і підписує його своїм довіреним сертифікатом.

Відповідно антивірус може розшифрувати запит, далі з'єднатись з справжнім гуглом і передати дані знову користувачу, причому дані можуть бути перевірені на віруси чи навіть змінені.

 

Дистанційно (коли немає контролю над машиною) - не працює

 

рівень 2 - підприємство

 

Тут всі віндовс машини входять в домен. І сертифікат інсталюється через політики на всі комп'ютери. Далі див рівень 1.

 

Дистанційно (коли немає контролю над доменом) - не працює

 

рівень 3 - держава

 

Наприклад Китай може надавити (і так і робить) на центр сертифікації і отримати можливість генерувати сертифікати для будь-якого сайту в світі.

Wiki: GFW can use a root certificate from CNNIC, which is found in most operating systems and browsers, to make a MITM attack

 

Дистанційно - працює. Перехоплюється трафік всього населення.

 

Але є одне але :)

Хром для google.com робить додаткову перевірку і унеможливлює цю атаку.

https://www.imperialviolet.org/2011/05/04/pinning.html

Starting with Chrome 13, we'll have HTTPS pins for most Google properties. This means that certificate chains for, say, https://www.google.com, must include a whitelisted public key. It's a fatal error otherwise. The whitelisted public keys for Google currently include Verisign, Google Internet Authority, Equifax and GeoTrust.

 

Отже якщо мова йде про хром і сайти гугла - там нічого не ламається навіть на рівні держави (крім США мабуть).

 

Підсумок для ТС:

Якщо у вас не контрольований гуртожиток чи підприємство, а звичайні абоненти, тоді щоб поламати HTTPS і показати сторінку-заглушку вам потрібно мати кума-брата-свата в уряді Китаю (для звичайних браузерів) чи спецслужбах США (для хрому і доменів google). :)

Ссылка на сообщение
Поделиться на других сайтах

Примерно об этом я и говорил. Раньше в фаерфоксе/опере была кнопочка 'все равно продолжить', но походу ее ликвидировали и больше химичить с сертификатами не выйдет вообще.

Ссылка на сообщение
Поделиться на других сайтах

Примерно об этом я и говорил. Раньше в фаерфоксе/опере была кнопочка 'все равно продолжить', но походу ее ликвидировали и больше химичить с сертификатами не выйдет вообще.

Таки кнопка у меня такая на последнем FF работает. Хотя версию — две назад искал, не находил:)

Ссылка на сообщение
Поделиться на других сайтах

Після того як налаштував https на апaчі згідно статті http://freebsd.3dn.ru/publ/nastrojka_avtorizacii_na_veb_servere_apache_po_sertifikatu_polzovatelja_2009/4-1-0-812

для підключення сервісу оплати через приват. Якось запрацювало. Тобто в гугл все рівно видає варнінг про підміну сертифікату, але відкриває ше одну вкладку з потрібним мені контентом. Закономірності не шукав, як запрацювало хз )))

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від vit75
      Могут ли крупные провайдеры как Киевстар и др. перехватить информацию которую посылает юзер на сайты с https. Проли, текст и пр.? Напимер пароль юзера на https://mail.ukr.net или тест письма?
    • Від freehost
      В крупную хостинг-компанию требуется сотрудник службы технической поддержки.
       
      Обязанности:
      Отвечать на вопросы клиентов (работа с панелью управления, настройка POP3, SMTP, FTP, другие технические вопросы) по телефону, эл. почте, решать мелкие проблемы (неверно заполненные данные и настройки в контрольной панели, проблемы с доступом и т. п.), не сложные вопросы касающиеся администрирования, подключение IPKVM, перезагрузка серверов.
       
      Требования:
      Умение работать в Интернет с основными клиентами (браузеры: IE и Mozilla, почтовые клиенты: The bat, outlook, FTP-клиенты: IE, Far, Cute FTP; Базовые знания PHP, MySQL; Уметь читать и понимать логи Apache, Nginx, Exim Приветствуется опыт работы в Web-Дизайне, работа с Joomla, Wordpress Навыки работы в командной строке UNIX; Желателен опыт работы с VestaCP, ISPmanager Коммуникабельность, терпение, эмоциональная уравновешенность, способность к обучению.  
      Условия:
      Официальное трудоустройство 24 дня отпуска Обеды за счет компании Сменный график. Смена сутки, потом три дня выходных. Оплачиваемый больничный Возможность повышения до дежурного администратора. Работа в дата-центре (в случае локдаунов предусмотрена развозка сотрудников)
        Работа в дата-центре это возможность получить опыт работы с различными технологиями (apache, nginx, mysql, zabbix, wordpress, joomla, dns…), а так же опыт работы с железной частью серверов.
      Если нету опыта работы с Unix, резюме просьба не присылать.

      Резюме присылайте на hr@freehost.com.ua
    • Від Nejron
      Всем здрям! ))
      Изложу суть :
      Имеется некий сервис (в данном случае IPTV личного производства)
      Хотелось бы контролировать с билинга доступ к нему.
      В профиле пользователя создал дополнительное поле с типом "TRIGGER".
       
      А вот дальше хочу спросить как правильно заполнить свою таблицу для ipfw?
      Добавлять/удалять от туда ip клиентов и возможно еще что то посоветуете.
      Возможно кто то что то подобное делал,
      не оставте начинающего админа без совета ?
       
    • Від Oleg2018
      Посоветуйте ,такая ситуация при сканировании хоста с биллингом во внешней сети открытые порты 5555 (stargazer), и 80 (apache). Если их нужно наверное спрятать от внешней сети, то как правильно написать правило ipfw ,касательно этих портов.Все остальное что вылезло после установки я закрыл, а здесь не получается никак. Спаибо заранее. 
    • Від Baneff
      Всем привет.
      Давно использую freebsd + ipfw + dummynet + kernel nat + ещё куча всякого разного и всё на одном серваке. Менять платформу не хочу - старый я уже для этого. Так вот. Нагрузка постепенно растёт, пора как-бы железо менять в очередной раз, но есть проблема. Всё в этой схеме прекрасно параллелится на мультиядерной системе. Всё, кроме старичка DUMMYNET. В очередной раз смотрю на процесс kernel{dummynet} и в очередной раз вижу конкретное узкое место во всй системе. Обойти невозможно, работает только в один поток и когда загрузка превышает 80-90% начинаются естественные проблемы. Все остальное работает с большим запасом по нагрузке. Вот и вопрос: как-то эту проблему удаётся решать? Чем шейпить юзеров, если не дамминетом? Или может появилась возможность как-то его параллелить? Или, возможно, какие-то новые методы позволяют как-то снизить нагрузку на дамминет? В документации появились некие новые варианты настроек CoDel, PIE, FQ-CoDel и FQ-PIE в дополнение к старым, может они помогут? Кто-то пробовал?
      Спасибо.
×
×
  • Створити нове...