Re: Механизм назначения переменной $ssl session id
On Sat, 4 Aug 2018, Romano wrote: И как же они это делают? Пробую соединения через консоль openssl, $ssl session id не регистрируется, Ну вот же он: kaa@AKnb6:~$ echo "" |openssl s_client -connect dev.kopeyko.ru:443 2>/dev/null |grep -1 Session-ID: Cipher: ECDHE-RSA-AES256-SHA Session-ID: 18BB9A4672CFB2C19D64F156BD1ECA3E9EDDBBE558DCAF79F71CF434537770C9 Session-ID-ctx: kaa@AKnb6:~$ Этот идентификатор может быть передан через HTTP заголовки? Нет, не может. Это параметр TLS соединения, устанавливаемого _до_ начала работы протокола HTTP. -- Best regards, Andrey Kopeyko ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Механизм назначения переменной $ssl session id
Спасибо! Posted at Nginx Forum: https://forum.nginx.org/read.php?21,280592,280780#msg-280780 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Механизм назначения переменной $ssl session id
Hello! On Sat, Aug 04, 2018 at 07:48:47AM -0400, Romano wrote: > И как же они это делают? Пробую соединения через консоль openssl, $ssl > session id не регистрируется, хотя получаю дешифрованный контент сайта. Этот > идентификатор может быть передан через HTTP заголовки? Существует два варианта назначения Session ID: - В случае использования серверного кэша сессий - session id выбирается сервером, и доступен серверу с момента установления первого соединения. Соответственно доступна переменная $ssl_session_id в клиенте. - В случае использова TLS session tickets - session id выбирается клиентом при использовании тикета. Соответственно переменная $ssl_session_id доступна только при повторном использовании сессии. Может, впрочем, и не быть доступна вовсе - если клиент предпочтёт session id не выбирать (но такие клиенты, AFAIK, редкость). Подробности обо всём этом можно прочитать в https://tools.ietf.org/html/rfc5077#section-3.4. Кроме того, если не используется ни кэш сессий, ни тикеты - session id вообще не будет выбираться, и соответственно переменная будет пустой. -- Maxim Dounin http://mdounin.ru/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Механизм назначения переменной $ssl session id
И как же они это делают? Пробую соединения через консоль openssl, $ssl session id не регистрируется, хотя получаю дешифрованный контент сайта. Этот идентификатор может быть передан через HTTP заголовки? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,280592,280763#msg-280763 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Механизм назначения переменной $ssl session id
Спаммеры получают его при установлении TLS-соединения. 21 июля 2018 г. 12:18:22 GMT+03:00, Romano пишет: >Насколько я понял, значение этой переменой доступно для конфигурации >сервера >после получения ssl-сессии из кеша, т.е. как минимум после повторного >захода >на сайт. > >Вопрос, каким образом спамеры "получают" идентификатор с первого захода >ранее неизвестных адресов? > >Posted at Nginx Forum: >https://forum.nginx.org/read.php?21,280591,280591#msg-280591 > >___ >nginx-ru mailing list >nginx-ru@nginx.org >http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Простите за краткость, создано в K-9 Mail. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru