Jump to content

Ubilling и HTTPS


Recommended Posts

Вопрос собственно простой. Чем грозит миграция Ubillling на https? Есть ли фичи, гвоздями прибитые к протоколу (прямые линки, например)? Каких можно огрести приключений?

Link to post
Share on other sites

 

 

  On 12/14/2015 at 1:18 PM, Gravy said:
Чем грозит миграция Ubillling на https?

По идее ничем.

 

 

 

  On 12/14/2015 at 1:18 PM, Gravy said:
Есть ли фичи, гвоздями прибитые к протоколу (прямые линки, например)?

Так бывает только у мудаков.

 

  Quote

 

Каких можно огрести приключений?

adventuretime.gif

Link to post
Share on other sites

Второй год, полет нормальный, изредка ругается в некоторых модулях на смешаное содержимое, в основном это модули с яндекс картами, но таких мест по пальцам пересчитать осталось.

Link to post
Share on other sites
  On 12/14/2015 at 2:27 PM, oberon85 said:

Я перевел на https, неделя, полет нормальный

Только админку или и личный кабинет тоже? А редирект с http на https делали?

Link to post
Share on other sites
  On 12/16/2015 at 8:13 AM, mac said:

 

  On 12/14/2015 at 2:27 PM, oberon85 said:

Я перевел на https, неделя, полет нормальный

Только админку или и личный кабинет тоже? А редирект с http на https делали?

 

 

Кабинет был изначально запущен по https, потом админку перевели. Все норм. Редирект само собой.

Link to post
Share on other sites

 

 

  On 12/16/2015 at 8:36 AM, Demid said:
потом админку перевели

А у вас биллинг совмещен с NAS или выделенный? админка в виртуал-хосте ? Делали редирект по доке к apache ?
Просто у меня не получилось сделать редирект по док к апач на совмещенном биллинг+нас+uhw, админка без virtual host. Ошибку выдавало.
Единственный вариант редиректа, который заработал, это в billing/index.php в самом начале добавить:
 

// Redirect to https
if (empty($_SERVER['HTTPS'])){
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
}

Но это ведь до первого обновления...

Link to post
Share on other sites
  On 12/16/2015 at 9:14 AM, mac said:

 

  On 12/16/2015 at 8:36 AM, Demid said:
потом админку перевели

А у вас биллинг совмещен с NAS или выделенный? админка в виртуал-хосте ? Делали редирект по доке к apache ?

Просто у меня не получилось сделать редирект по док к апач на совмещенном биллинг+нас+uhw, админка без virtual host. Ошибку выдавало.

Единственный вариант редиректа, который заработал, это в billing/index.php в самом начале добавить:

 

// Redirect to https
if (empty($_SERVER['HTTPS'])){
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
}

Но это ведь до первого обновления...

 

Всё нормально делается средствами вебсервера, неважно, виртуалхост у Вас или нет:

google://apache+redirect+301

google://nginx+redirect+301

Link to post
Share on other sites
  On 12/16/2015 at 8:13 AM, mac said:

 

  On 12/14/2015 at 2:27 PM, oberon85 said:

Я перевел на https, неделя, полет нормальный

Только админку или и личный кабинет тоже? А редирект с http на https делали?

 

 

И админку и ЛК.

Редирект сделала средствами .htaccess

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
Link to post
Share on other sites

 

 

  On 12/16/2015 at 9:26 AM, Phsm said:
google://apache+redirect+301

Попробовал только что. Че-то не так делал раньше и делаю. firefox отвечает ошибкой:

The page isn't redirecting properly
Firefox has detected that the server is redirecting the request for this address in a way that will never complete.

Chrome тоже, пишет: "ERR_TOO_MANY_REDIRECTS"

Link to post
Share on other sites
  On 12/16/2015 at 9:52 AM, oberon85 said:
Редирект сделала средствами .htaccess

Спасибо, попробую.

Работает! Еще раз спасибо!

Я понимал, что как-то нужно перестать редиректить, то, что уже и так отредиректино)

RewriteCond %{HTTPS} off   - то что нужно

Edited by mac
Link to post
Share on other sites

Перевел. И админку и ЛК, отдельными виртуал-хостами, сертификаты и на то и на другое получил в wosign. Редирект с http с помощью htaccess. Проблем пока не нашел.

Link to post
Share on other sites

 

 

  On 12/16/2015 at 10:08 AM, Gravy said:
сертификаты и на то и на другое получил в wosign

Которые free? Пожалуй они даже интереснее будут, чем StartCom...

Link to post
Share on other sites
  On 12/16/2015 at 10:30 AM, mac said:

 

  On 12/16/2015 at 10:08 AM, Gravy said:
сертификаты и на то и на другое получил в wosign

Которые free? Пожалуй они даже интереснее будут, чем StartCom...

 

Мне не понравился Wosign, я генерил тут

Link to post
Share on other sites
  On 12/15/2015 at 7:55 PM, Demid said:

Второй год, полет нормальный, изредка ругается в некоторых модулях на смешаное содержимое, в основном это модули с яндекс картами, но таких мест по пальцам пересчитать осталось.

Вроде ж еще в 0.6.9 исправляли

Link to post
Share on other sites
  On 12/16/2015 at 9:52 AM, oberon85 said:

И админку и ЛК.

Редирект сделала средствами .htaccess

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Херасе, народ, а поболее микроскоп для заколачивания гвоздей не нашлось? Чем вас Redirect в конфиге virtual host обидел? Зачем для этого запускать этого монстра Rewrite?

Link to post
Share on other sites

 

 

  On 12/16/2015 at 12:26 PM, vop said:
Чем вас Redirect в конфиге virtual host обидел? Зачем для этого запускать этого монстра Rewrite?

Ну да, конечно же... админка биллинга это же такой хайлоад... обожемойспаситепомогитеmod_rewrite кругом!!!!1111

Link to post
Share on other sites
  On 12/16/2015 at 12:32 PM, nightfly said:

 

  On 12/16/2015 at 12:26 PM, vop said:

Чем вас Redirect в конфиге virtual host обидел? Зачем для этого запускать этого монстра Rewrite?

Ну да, конечно же... админка биллинга это же такой хайлоад... обожемойспаситепомогитеmod_rewrite кругом!!!!1111

 

А, ну да. Зачем искать простые пути. Как говорится в народе, и напляшешься, и натрахаешься. :)

Link to post
Share on other sites

 

 

  On 12/16/2015 at 12:26 PM, vop said:
Чем вас Redirect в конфиге virtual host обидел?

Ничем. В моем случае, например, нет виртуал хоста на админку.

Link to post
Share on other sites
  On 12/16/2015 at 1:22 PM, mac said:

 

  On 12/16/2015 at 12:26 PM, vop said:

Чем вас Redirect в конфиге virtual host обидел?

Ничем. В моем случае, например, нет виртуал хоста на админку.

 

Его можно вставить хоть в конфиг апачи, хоть в .htaccess. Какая разница?

Link to post
Share on other sites

После каждого обновления вроде бы затирается .htaccess, по крайней мере из под userstats/.htaccess такое наблюдается.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By vit75
      Могут ли крупные провайдеры как Киевстар и др. перехватить информацию которую посылает юзер на сайты с https. Проли, текст и пр.? Напимер пароль юзера на https://mail.ukr.net или тест письма?
    • By eminema_nema
      Всім доброго дня!
      Встановлено Ubilling (1.1.2 rev 7784) на FreeBSD 12.1. Налаштовано дві мережеві карти, одна для зв'язку з  NAS (фізичний Mikrotik), інша - реальна ІР.
      NAS налаштовано таким чином. Все чудово працює, користувачів при зміні стану Активний\Неактивний перекидає по відповідних списках адрес. 
      Після встановлення ssl (letsencrypt) - перестає працювати, користувач на мікротіку залишається в списку Not Allow, хоча в білінгу він активний і навпаки. Якщо сам натисну кнопку "Регенерація бази" то лише тоді відбудеться зміна в списках адрес.
      Логи cron показують, що регенерація бази multigen відбувається кожної хвилини. SSL встановлено для адмінки та кабінету користувача.
      В чому може бути проблема?


    • By Archy_k
      Всем привет.
      Столкнулся с проблемой: не обновился сертификат SSL.
      Попробовал вручную запустить скрипт:
      # /etc/letsencrypt/certbot/certbot-auto renew Creating virtual environment... Installing Python packages... /opt/eff.org/certbot/venv/bin/python: No module named pip.__main__; 'pip' is a package and cannot be directly executed Traceback (most recent call last):   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 177, in <module>     sys.exit(main())   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 149, in main     pip_version = StrictVersion(check_output([python, '-m', 'pip', '--version'])   File "/usr/lib/python2.7/subprocess.py", line 544, in check_output     raise CalledProcessError(retcode, cmd, output=output) subprocess.CalledProcessError: Command '['/opt/eff.org/certbot/venv/bin/python', '-m', 'pip', '--version']' returned non-zero exit status 1 И вот какой ответ получаю.
      Подскажите пожалуйста, как с этим справиться...
      Сервер с Debian и nginx
      Заранее спасибо.
    • By major12
      Припустимо що ви заблокувати фаєрволом щось маленьке, наприклад 154.47.36.16/32 або щось велике, наприклад 178.154.128.0/17.
      І вам цікаво куди пробують стукатись користувачі чи мобільні аплікації.
       
      HTTP зараз стає менш популярним, більшість коннектів відбувається по HTTPS (TLS).
      Переважна більшість серверів і клієнтів вміють і будуть використовувати SNI https://uk.wikipedia.org/wiki/Server_Name_Indication
      Цим фактом ми і скористаємось.
       
      Отже крок 1 - перезбираємо nginx
      cd /usr/ports/www/nginx make config опції які нам потрібні
      [x] STREAM Enable stream module [x] STREAM_SSL_PREREAD Enable stream_ssl_preread module ну і далі make install clean чи portmaster nginx
       
      2 - конфігуруємо nginx
       
      stream { log_format main '[$time_local] $remote_addr $server_addr "$ssl_preread_server_name"'; access_log /var/log/ssl_preread.log main; server { listen 843; ssl_preread on; return ""; } } Коментарі:
      потрібно саме секція stream а не звична http
      рядок return ""; означає повернути 0 байт і закрити з'єднання, можна пробувати повертати щось інше, наприклад "Blocked!", але TLS стек клієнта ітак їх не зрозуміє і розірве конект.
       
      Не забуваємо перезапусти nginx і перевіряємо що він слухає порт
      netstat -na | grep 843  
      3 - перенаправляємо трафік
      ipfw add 05210 fwd 127.0.0.1,843 tcp from any to table\(40\) dst-port 443 В табличці 40 адреси які моніторимо (і блокуємо теж, бо коннекти на порт 443 будуть йти на наш nginx)
       
      Результат
      В файлі /var/log/ssl_preread.log маємо рядки типу
      [23/Dec/2018:19:13:28 +0200] 192.168.33.38 178.154.131.216 "yastatic.net" [23/Dec/2018:19:13:33 +0200] 192.168.25.47 87.240.129.133 "vk.com" Перша айпішка це клієнт, друга це (заблокований) ресурс.
      Раджу слідкувати за розміром логу, бо запитів від мобільних аплікацій дуууже багато.
      Користуємось поки не прийшов ESNI (Encrypted SNI), де хостів видно не буде.
       
       
       
       
    • By www.хомнет.укр
      Доброго времени!
      Есть такая проблема...
      Юзверя выпускаются в Инет через микротик. Для тех у кого не проплачено - создается в файрволе адреслист "local_only" в котором ip всех абонов которым запрещен вход в инет. Но в файрволе есть правили которое позволяет заходить на сайт привата и ликпай для оплаты услуг. В следствии чего юзверя могут спокойно пользоваться и заходить на сайты соц сетей и таких как ютюб, гугл, яндекс...
      Вопрос: НУЖНО СОДАТЬ ПРАВИЛО ДЛЯ ЭТОГО СПИСКА IP ЧТОБЫ БЛОКИРОВАЛО ВХОД НА ДАННЫЕ РЕСУРСЫ.
×
×
  • Create New...