On 20/11/2014 13:39, Guillaume Rousseau wrote:
Salut,
Bonsoir Guillaume,
Ne chaînerais-tu pas plusieurs proxy ? genre dansguardian+squid ? Si
oui, je viens de vérifier, c'est ce qui semble déranger seloger.com. En
paramétrant squid en transparent, le serveur web ne voit qu'une seule ip
dans le champs X-Forwarded-For, et seloger.com fonctionne.
En effet je chaine plusieurs proxy.
Je n'ai pas ce souci sur Boursorama, testé à divers endroits, le souci
n'aurait-il pas été corrigé depuis ?
Boursorama a été très réactif pour corriger ce pb en effet.
Je laisse la valeur par défaut, donc oui, honnêtement je m'en fiche un
peu qu'un site distant puisse voir mon adressage interne, même si
quelque part ça pourrait aider certains petits malins qui profiteraient
de la crédulité d'un utilisateur pour obtenir plus vite une info afin
d'effectuer une attaque plus ciblée... Bouais...
À priori seul ce client a été impacté par ce souci, mais à l'avenir je
vais garder un oeil là dessus, et si ça se généralise, passer l'option
en mode transparent, ou même en delete si vraiment ils sont décidés à
nous e****der.
Rejetez-vous les requètes dans lesquelles x forwarded for contient une
IP RFC1918 ?
Est-ce une "appliance" crypto-communisto-castratrice ?
Là par contre je suis preneur d'info sur le pourquoi serait rejetée une
IP RFC1918, j'aurais plutôt tendance à penser à des bugs de développeurs
qui n'auraient par exemple dans mon cas pas pris en compte le fait que
des proxy peuvent être chaînés, et apparaître dans le X-Forwarded-For,
ou encore qui croient qu'une 1918 dans un X-Forwarded-For, saimal.
Ou bien serait-ce des tentatives pour bloquer des attaques ou même des
consultations de sites qui utiliseraient un chaînage de proxy ? Enfin
celui qui fait ça avec des proxy bavards de X-Forwarded-For ne serait
pas très malin...
Ou alors ces IPs sont utilisés en interne par ces sites et les IPs sont
"filtrées" dans le X-forwarded-for afin que l'on ne puisse pas prétendre
être une machine interne depuis l'exterieur de leur réseau... mes 0.02€.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
