Le 13 nov. 2014 à 16:11, Laurent CARON <lca...@unix-scripts.info> a écrit :
> Bonjour, > > Je constate depuis quelques semaines concernant seloger.com (et autres sites > du groupe) et depuis ce matin concernant boursorama.com une impossibilité > d'accès en passant pas un proxy envoyant X-Forwarded-For: > > :squid.conf: > forwarded_for on -> valeur par défaut -> accès interdit à ces sites > forwarded_for delete -> accès autorisé > > Exemple: > curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"; > > <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> > <html><head> > <title>403 Forbidden</title> > </head><body> > <h1>Forbidden</h1> > <p>You don't have permission to access / > on this server.</p> > </body></html> > > Note intéressante: > curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com"; > fonctionne > > Il semblerait donc que boursorama n'accepte pas de requètes comportant un X > forwarded for contenant une IP RFC1918. > > Et vous, envoyez-vous un x-forwarded-for (à l'exterieur) ? > Rejetez-vous les requètes dans lesquelles x forwarded for contient une IP > RFC1918 ? Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant" :) Pour info : forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for off -> (ma valeur par défaut) -> accès interdit à ces sites forwarded_for delete -> accès autorisé J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a delete même si pour les sites en questions ils ne savent plus qui est derrière le proxy. Ca règle le problème c'est le principal (pour les gens qui sont derrière les proxy). La cerise sur le gateau c'est que pour des sites illicites ou troués via des pubs a la con, ça cache l'adressage ip derrière le proxy et donc baisse le risque potentiel de recherche de moyen de contourner les diverses couches de sécu. Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des reverses proxy et donc dépendre de cet header... Xavier
signature.asc
Description: Message signed with OpenPGP using GPGMail
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
