Перейти до

Ubilling и HTTPS


Рекомендованные сообщения

Вопрос собственно простой. Чем грозит миграция Ubillling на https? Есть ли фичи, гвоздями прибитые к протоколу (прямые линки, например)? Каких можно огрести приключений?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Чем грозит миграция Ubillling на https?

По идее ничем.

 

 

 

Есть ли фичи, гвоздями прибитые к протоколу (прямые линки, например)?

Так бывает только у мудаков.

 

 

Каких можно огрести приключений?

adventuretime.gif

Ссылка на сообщение
Поделиться на других сайтах

Второй год, полет нормальный, изредка ругается в некоторых модулях на смешаное содержимое, в основном это модули с яндекс картами, но таких мест по пальцам пересчитать осталось.

Ссылка на сообщение
Поделиться на других сайтах

 

Я перевел на https, неделя, полет нормальный

Только админку или и личный кабинет тоже? А редирект с http на https делали?

 

 

Кабинет был изначально запущен по https, потом админку перевели. Все норм. Редирект само собой.

Ссылка на сообщение
Поделиться на других сайтах

 

 

потом админку перевели

А у вас биллинг совмещен с NAS или выделенный? админка в виртуал-хосте ? Делали редирект по доке к apache ?
Просто у меня не получилось сделать редирект по док к апач на совмещенном биллинг+нас+uhw, админка без virtual host. Ошибку выдавало.
Единственный вариант редиректа, который заработал, это в billing/index.php в самом начале добавить:
 

// Redirect to https
if (empty($_SERVER['HTTPS'])){
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
}

Но это ведь до первого обновления...

Ссылка на сообщение
Поделиться на других сайтах

 

потом админку перевели

А у вас биллинг совмещен с NAS или выделенный? админка в виртуал-хосте ? Делали редирект по доке к apache ?

Просто у меня не получилось сделать редирект по док к апач на совмещенном биллинг+нас+uhw, админка без virtual host. Ошибку выдавало.

Единственный вариант редиректа, который заработал, это в billing/index.php в самом начале добавить:

 

// Redirect to https
if (empty($_SERVER['HTTPS'])){
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
}

Но это ведь до первого обновления...

 

Всё нормально делается средствами вебсервера, неважно, виртуалхост у Вас или нет:

google://apache+redirect+301

google://nginx+redirect+301

Ссылка на сообщение
Поделиться на других сайтах

 

Я перевел на https, неделя, полет нормальный

Только админку или и личный кабинет тоже? А редирект с http на https делали?

 

 

И админку и ЛК.

Редирект сделала средствами .htaccess

RewriteEngine On

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
Ссылка на сообщение
Поделиться на других сайтах

 

 

google://apache+redirect+301

Попробовал только что. Че-то не так делал раньше и делаю. firefox отвечает ошибкой:

The page isn't redirecting properly
Firefox has detected that the server is redirecting the request for this address in a way that will never complete.

Chrome тоже, пишет: "ERR_TOO_MANY_REDIRECTS"

Ссылка на сообщение
Поделиться на других сайтах
Редирект сделала средствами .htaccess

Спасибо, попробую.

Работает! Еще раз спасибо!

Я понимал, что как-то нужно перестать редиректить, то, что уже и так отредиректино)

RewriteCond %{HTTPS} off   - то что нужно

Відредаговано mac
Ссылка на сообщение
Поделиться на других сайтах

Перевел. И админку и ЛК, отдельными виртуал-хостами, сертификаты и на то и на другое получил в wosign. Редирект с http с помощью htaccess. Проблем пока не нашел.

Ссылка на сообщение
Поделиться на других сайтах

 

сертификаты и на то и на другое получил в wosign

Которые free? Пожалуй они даже интереснее будут, чем StartCom...

 

Мне не понравился Wosign, я генерил тут

Ссылка на сообщение
Поделиться на других сайтах

Второй год, полет нормальный, изредка ругается в некоторых модулях на смешаное содержимое, в основном это модули с яндекс картами, но таких мест по пальцам пересчитать осталось.

Вроде ж еще в 0.6.9 исправляли

Ссылка на сообщение
Поделиться на других сайтах

И админку и ЛК.

Редирект сделала средствами .htaccess

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Херасе, народ, а поболее микроскоп для заколачивания гвоздей не нашлось? Чем вас Redirect в конфиге virtual host обидел? Зачем для этого запускать этого монстра Rewrite?

Ссылка на сообщение
Поделиться на других сайтах

 

 

Чем вас Redirect в конфиге virtual host обидел? Зачем для этого запускать этого монстра Rewrite?

Ну да, конечно же... админка биллинга это же такой хайлоад... обожемойспаситепомогитеmod_rewrite кругом!!!!1111

Ссылка на сообщение
Поделиться на других сайтах

 

Чем вас Redirect в конфиге virtual host обидел? Зачем для этого запускать этого монстра Rewrite?

Ну да, конечно же... админка биллинга это же такой хайлоад... обожемойспаситепомогитеmod_rewrite кругом!!!!1111

 

А, ну да. Зачем искать простые пути. Как говорится в народе, и напляшешься, и натрахаешься. :)

Ссылка на сообщение
Поделиться на других сайтах

 

Чем вас Redirect в конфиге virtual host обидел?

Ничем. В моем случае, например, нет виртуал хоста на админку.

 

Его можно вставить хоть в конфиг апачи, хоть в .htaccess. Какая разница?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від vit75
      Могут ли крупные провайдеры как Киевстар и др. перехватить информацию которую посылает юзер на сайты с https. Проли, текст и пр.? Напимер пароль юзера на https://mail.ukr.net или тест письма?
    • Від eminema_nema
      Всім доброго дня!
      Встановлено Ubilling (1.1.2 rev 7784) на FreeBSD 12.1. Налаштовано дві мережеві карти, одна для зв'язку з  NAS (фізичний Mikrotik), інша - реальна ІР.
      NAS налаштовано таким чином. Все чудово працює, користувачів при зміні стану Активний\Неактивний перекидає по відповідних списках адрес. 
      Після встановлення ssl (letsencrypt) - перестає працювати, користувач на мікротіку залишається в списку Not Allow, хоча в білінгу він активний і навпаки. Якщо сам натисну кнопку "Регенерація бази" то лише тоді відбудеться зміна в списках адрес.
      Логи cron показують, що регенерація бази multigen відбувається кожної хвилини. SSL встановлено для адмінки та кабінету користувача.
      В чому може бути проблема?


    • Від Archy_k
      Всем привет.
      Столкнулся с проблемой: не обновился сертификат SSL.
      Попробовал вручную запустить скрипт:
      # /etc/letsencrypt/certbot/certbot-auto renew Creating virtual environment... Installing Python packages... /opt/eff.org/certbot/venv/bin/python: No module named pip.__main__; 'pip' is a package and cannot be directly executed Traceback (most recent call last):   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 177, in <module>     sys.exit(main())   File "/tmp/tmp.qUAUXX5FHZ/pipstrap.py", line 149, in main     pip_version = StrictVersion(check_output([python, '-m', 'pip', '--version'])   File "/usr/lib/python2.7/subprocess.py", line 544, in check_output     raise CalledProcessError(retcode, cmd, output=output) subprocess.CalledProcessError: Command '['/opt/eff.org/certbot/venv/bin/python', '-m', 'pip', '--version']' returned non-zero exit status 1 И вот какой ответ получаю.
      Подскажите пожалуйста, как с этим справиться...
      Сервер с Debian и nginx
      Заранее спасибо.
    • Від major12
      Припустимо що ви заблокувати фаєрволом щось маленьке, наприклад 154.47.36.16/32 або щось велике, наприклад 178.154.128.0/17.
      І вам цікаво куди пробують стукатись користувачі чи мобільні аплікації.
       
      HTTP зараз стає менш популярним, більшість коннектів відбувається по HTTPS (TLS).
      Переважна більшість серверів і клієнтів вміють і будуть використовувати SNI https://uk.wikipedia.org/wiki/Server_Name_Indication
      Цим фактом ми і скористаємось.
       
      Отже крок 1 - перезбираємо nginx
      cd /usr/ports/www/nginx make config опції які нам потрібні
      [x] STREAM Enable stream module [x] STREAM_SSL_PREREAD Enable stream_ssl_preread module ну і далі make install clean чи portmaster nginx
       
      2 - конфігуруємо nginx
       
      stream { log_format main '[$time_local] $remote_addr $server_addr "$ssl_preread_server_name"'; access_log /var/log/ssl_preread.log main; server { listen 843; ssl_preread on; return ""; } } Коментарі:
      потрібно саме секція stream а не звична http
      рядок return ""; означає повернути 0 байт і закрити з'єднання, можна пробувати повертати щось інше, наприклад "Blocked!", але TLS стек клієнта ітак їх не зрозуміє і розірве конект.
       
      Не забуваємо перезапусти nginx і перевіряємо що він слухає порт
      netstat -na | grep 843  
      3 - перенаправляємо трафік
      ipfw add 05210 fwd 127.0.0.1,843 tcp from any to table\(40\) dst-port 443 В табличці 40 адреси які моніторимо (і блокуємо теж, бо коннекти на порт 443 будуть йти на наш nginx)
       
      Результат
      В файлі /var/log/ssl_preread.log маємо рядки типу
      [23/Dec/2018:19:13:28 +0200] 192.168.33.38 178.154.131.216 "yastatic.net" [23/Dec/2018:19:13:33 +0200] 192.168.25.47 87.240.129.133 "vk.com" Перша айпішка це клієнт, друга це (заблокований) ресурс.
      Раджу слідкувати за розміром логу, бо запитів від мобільних аплікацій дуууже багато.
      Користуємось поки не прийшов ESNI (Encrypted SNI), де хостів видно не буде.
       
       
       
       
    • Від www.хомнет.укр
      Доброго времени!
      Есть такая проблема...
      Юзверя выпускаются в Инет через микротик. Для тех у кого не проплачено - создается в файрволе адреслист "local_only" в котором ip всех абонов которым запрещен вход в инет. Но в файрволе есть правили которое позволяет заходить на сайт привата и ликпай для оплаты услуг. В следствии чего юзверя могут спокойно пользоваться и заходить на сайты соц сетей и таких как ютюб, гугл, яндекс...
      Вопрос: НУЖНО СОДАТЬ ПРАВИЛО ДЛЯ ЭТОГО СПИСКА IP ЧТОБЫ БЛОКИРОВАЛО ВХОД НА ДАННЫЕ РЕСУРСЫ.
×
×
  • Створити нове...