Le 27/04/2011 21:59, Jean Baptiste FAVRE a écrit : > Je suppose que le cookie (de session ?) est généré (et donc géré) par > le(s) serveur(s) applicatif(s) et non par le reverse ?
Tout à fait. > 1. Est-il envisageable de faire sauter le SSL entre le reverse et le > serveur applicatif ? Ce qui simplifierait l'écoute réseau. Il n'y a pas de SSL entre le reverse et le serveur d'appli. L'écoute réseau ne se fait pas là pour isoler plus facilement le trafic des clients où ça pose problème. (client) <---Internet/443/https--> (frontal ssl reverse) <---LAN/2501/http---> (serveur d'appli) > 2. Sinon, cas à la con où l'applicatif se préoccupe de vérifier que le > flux est bien en SSL, est-il envisageable de forcer l'utilisation du > chiffrement null entre le reverse et le serveur applicatif ? Le flux > circulerait alors en clair bien qu'en SSL (négo toussa) ce qui > simplifierait l'écoute réseau. L'applicatif ne voit rien du SSL donc en pratique dans mon cas. > 3. Passer le(s) serveur(s) applicatif(s) en mode debug, éventuellement > juste pour ces utilisateurs là. On va arriver à ça si j'arrive pas à m'en sortir avec Wireshark :) Mais j'aimais bien la possibilité d'écouter au niveau de mon point de sortie sur Internet afin de voir directement le problème. > 4. Ces clients sont-ils derrière un proxy ? Celui-ci ne ferait-il pas un > peu de ménage dans les headers, voire ajouterait ces propres cookies (de > mémoire, il ne peut y en avoir plus de 4 par requête. Du coup, la > requête pourrait être débarrassée du cookie de session. A priori non, l'IP est de la simple collecte ADSL wanadoo. Ca semble être un mac perso à la maison en l'occurence. La personne a pas l'air très technique, on essaye d'en savoir un maximum avant de devoir la déranger plus pour essayer d'avoir des renseignements ! :p > > 5. Dérivé du précédent. Si les clients sont derrière un proxy, est-il > possible que celui-ci, s'il ajoute son(es) propre(s) cookie(s) utilise > le même nom de cookie(s) ? Du coup, l'ID de session serait remplacé. Le nom de notre cookie est complétement custom ; et le pb arrive chez deux clients complètement différents. Je vous tiens au courant des avancées, au cas où... :) (et si c'est un gros fail de notre part aussi !) A+ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
