Salut,
Le 13/11/2014 16:11, Laurent CARON a écrit :
Je constate depuis quelques semaines concernant seloger.com (et autres
sites du groupe) et depuis ce matin concernant boursorama.com une
impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:
Ah intéressant, j'ai un client qui a également eu le même souci, avec
seloger.com ou un autre site du même genre
:squid.conf:
forwarded_for on -> valeur par défaut -> accès interdit à ces sites
forwarded_for delete -> accès autorisé
Ne chaînerais-tu pas plusieurs proxy ? genre dansguardian+squid ? Si
oui, je viens de vérifier, c'est ce qui semble déranger seloger.com. En
paramétrant squid en transparent, le serveur web ne voit qu'une seule ip
dans le champs X-Forwarded-For, et seloger.com fonctionne.
Exemple:
curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com";
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
</body></html>
Note intéressante:
curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com";
fonctionne
Il semblerait donc que boursorama n'accepte pas de requètes comportant
un X forwarded for contenant une IP RFC1918.
Je n'ai pas ce souci sur Boursorama, testé à divers endroits, le souci
n'aurait-il pas été corrigé depuis ?
Et vous, envoyez-vous un x-forwarded-for (à l'exterieur) ?
Je laisse la valeur par défaut, donc oui, honnêtement je m'en fiche un
peu qu'un site distant puisse voir mon adressage interne, même si
quelque part ça pourrait aider certains petits malins qui profiteraient
de la crédulité d'un utilisateur pour obtenir plus vite une info afin
d'effectuer une attaque plus ciblée... Bouais...
À priori seul ce client a été impacté par ce souci, mais à l'avenir je
vais garder un oeil là dessus, et si ça se généralise, passer l'option
en mode transparent, ou même en delete si vraiment ils sont décidés à
nous e****der.
Rejetez-vous les requètes dans lesquelles x forwarded for contient une
IP RFC1918 ?
Est-ce une "appliance" crypto-communisto-castratrice ?
Là par contre je suis preneur d'info sur le pourquoi serait rejetée une
IP RFC1918, j'aurais plutôt tendance à penser à des bugs de développeurs
qui n'auraient par exemple dans mon cas pas pris en compte le fait que
des proxy peuvent être chaînés, et apparaître dans le X-Forwarded-For,
ou encore qui croient qu'une 1918 dans un X-Forwarded-For, saimal.
Ou bien serait-ce des tentatives pour bloquer des attaques ou même des
consultations de sites qui utiliseraient un chaînage de proxy ? Enfin
celui qui fait ça avec des proxy bavards de X-Forwarded-For ne serait
pas très malin...
--
Guillaume Rousseau
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
