From kiwi@oav.net Fri Nov 14 09:52:47 2014
From: Xavier Beaudouin <kiwi@oav.net>
To: frsag@frsag.org
Subject: Re: [FRsAG] [TECH] - Blocage des =?utf-8?q?requ=C3=A8tes?= HTTP
 contenant un header X-Forwarded-For:
Date: Fri, 14 Nov 2014 09:52:45 +0100
Message-ID: <695E01CE-915A-4D84-9FCF-D64794CA39E0@oav.net>
In-Reply-To: <5464CA0B.7010102@unix-scripts.info>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===============8491856572694581633=="

--===============8491856572694581633==
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable


Le 13 nov. 2014 =C3=A0 16:11, Laurent CARON <lcaron(a)unix-scripts.info> a =
=C3=A9crit :

> Bonjour,
>=20
> Je constate depuis quelques semaines concernant seloger.com (et autres site=
s du groupe) et depuis ce matin concernant boursorama.com une impossibilit=C3=
=A9 d'acc=C3=A8s en passant pas un proxy envoyant X-Forwarded-For:
>=20
> :squid.conf:
> forwarded_for on -> valeur par d=C3=A9faut -> acc=C3=A8s interdit =C3=A0 ce=
s sites
> forwarded_for delete -> acc=C3=A8s autoris=C3=A9
>=20
> Exemple:
> curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"
>=20
> <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
> <html><head>
> <title>403 Forbidden</title>
> </head><body>
> <h1>Forbidden</h1>
> <p>You don't have permission to access /
> on this server.</p>
> </body></html>
>=20
> Note int=C3=A9ressante:
> curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com" foncti=
onne
>=20
> Il semblerait donc que boursorama n'accepte pas de requ=C3=A8tes comportant=
 un X forwarded for contenant une IP RFC1918.
>=20
> Et vous, envoyez-vous un x-forwarded-for (=C3=A0 l'exterieur) ?
> Rejetez-vous les requ=C3=A8tes dans lesquelles x forwarded for contient une=
 IP RFC1918 ?

Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant" :)

Pour info :

forwarded_for on -> valeur par d=C3=A9faut -> acc=C3=A8s interdit =C3=A0 ces =
sites
forwarded_for off -> (ma valeur par d=C3=A9faut) -> acc=C3=A8s interdit =C3=
=A0 ces sites
forwarded_for delete -> acc=C3=A8s autoris=C3=A9

J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a dele=
te m=C3=AAme si pour les sites en questions ils ne savent plus qui est derri=
=C3=A8re le proxy.=20

Ca r=C3=A8gle le probl=C3=A8me c'est le principal (pour les gens qui sont der=
ri=C3=A8re les proxy). La cerise sur le gateau c'est que pour des sites illic=
ites ou trou=C3=A9s via des pubs a la con, =C3=A7a cache l'adressage ip derri=
=C3=A8re le proxy et donc baisse le risque potentiel de recherche de moyen de=
 contourner les diverses couches de s=C3=A9cu.

Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des rever=
ses proxy et donc d=C3=A9pendre de cet header...

Xavier

--===============8491856572694581633==
Content-Type: application/pgp-signature
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="signature.asc"
MIME-Version: 1.0

LS0tLS1CRUdJTiBQR1AgU0lHTkFUVVJFLS0tLS0KCmlGNEVBUkVJQUFZRkFsUmx3dDBBQ2drUW5B
azBGbTBDVy9KQjV3RC9ZN1d2TmdrQktIbHRabW94dEsvL29IcHkKRzNBOFNhZ2dtK3lLeHhLVXho
NEEvaklSbnBoUXhTMmtLajRzRytjeWdET0tTR05IbzVIRFZsK0tnbmdWekpPTwo9STErcwotLS0t
LUVORCBQR1AgU0lHTkFUVVJFLS0tLS0K

--===============8491856572694581633==--