Le 23/05/2017 à 10:17, Dominique Rousseau a écrit :
Le Tue, May 23, 2017 at 09:30:28AM +0200, SERRUT Arnaud [qqqrno@gmail.com] a écrit: [...]
Si tu te fiche de qui se connecte à ton réseau mais que tu veux seulement protéger les accès Web, tu fais rediriger tous tes flux web vers ton proxy qui montre un portail captif. Une fois l'utilisateur authentifié, le proxy devient transparent.
Tout ca fonctionne tres bien quand tu interceptes de l'HTTP. (et une fois le proxy en mode "autorisation" ca va pour l'HTTPS)
Huh ? Qu'est-ce que tu entends par proxy en mode 'autorisation' ?
Le probleme qui motive le thread, c'est lorsque la toute premiere tentative de connexion, qu'il faut intercepter, et faire aboutir pour afficher la demande d'identification, est faite en HTTPS. Ce qui va etre le cas pour "www.google.fr" que beaucoup de monde a mis comme page par défaut, et qui a une politique HSTS embarquée dans les navigateurs.
Merci, j'ai l'impression de ne pas avoir posé correctement la problématique.
Je SAIS monter un portail captif, notamment avec de l'Unifi. Ca marche très bien avec Android (qui fait un check en HTTP sur connectivitycheck.google-truc) ou IOS (même chose à la loiche). Windows 10, je n'avais pas vérifier le comportement mais il semble avoir pris également de bonne habitudes.
Non, le soucis c'est un ordi portable sous Windows 7/8/Linux/Whatelse qui se connecte au wifi (sans WPA, cé maaal) et qui ensuite ouvre son navigateur qui, par défaut, ouvre https://fr.yahoo.com, https://www.google.pl ou encore https://account.live.com/.
Dans ce cas précis (mais pas rare), mon confrère avec lequel nous menons cette réflexion se prend IMMÉDIATEMENT un appel de support parce, je cite, "le wifi marche pas" (Hôtels, chambre d'hôtes, bref, des touristes étrangers pas toujours francophone).
Alors il explique qu'il faut ouvrir http://orange.fr ou http://lemonde.fr ou un de ces sites qui font du CDN qui ne sait pas leur fournir de SSL. Sauf que d'ici peu (hum) de temps, ces sites vont enfin rajouter du SSL et il ne restera plus que la possibilité d'en trouver qui n'a pas rajouté de HSTS et de lui dire de bypasser la vérification du certificat. C'est moche et ça donne de mauvaises habitudes aux end-users (si le mal n'est pas déjà fait).
C'est cette problématique que je tente de contourner. Si, en bonus, on a une solution qui permet d'éviter d'ouvrir des AP sans WPA, j'avoue que je ne cracherais pas dessus.
Julien