Le 27/04/2011 21:59, Jean Baptiste FAVRE a écrit :
Je suppose que le cookie (de session ?) est généré (et donc géré) par le(s) serveur(s) applicatif(s) et non par le reverse ?
Tout à fait.
- Est-il envisageable de faire sauter le SSL entre le reverse et le
serveur applicatif ? Ce qui simplifierait l'écoute réseau.
Il n'y a pas de SSL entre le reverse et le serveur d'appli. L'écoute réseau ne se fait pas là pour isoler plus facilement le trafic des clients où ça pose problème.
(client) <---Internet/443/https--> (frontal ssl reverse) <---LAN/2501/http---> (serveur d'appli)
- Sinon, cas à la con où l'applicatif se préoccupe de vérifier que le
flux est bien en SSL, est-il envisageable de forcer l'utilisation du chiffrement null entre le reverse et le serveur applicatif ? Le flux circulerait alors en clair bien qu'en SSL (négo toussa) ce qui simplifierait l'écoute réseau.
L'applicatif ne voit rien du SSL donc en pratique dans mon cas.
- Passer le(s) serveur(s) applicatif(s) en mode debug, éventuellement
juste pour ces utilisateurs là.
On va arriver à ça si j'arrive pas à m'en sortir avec Wireshark :) Mais j'aimais bien la possibilité d'écouter au niveau de mon point de sortie sur Internet afin de voir directement le problème.
- Ces clients sont-ils derrière un proxy ? Celui-ci ne ferait-il pas un
peu de ménage dans les headers, voire ajouterait ces propres cookies (de mémoire, il ne peut y en avoir plus de 4 par requête. Du coup, la requête pourrait être débarrassée du cookie de session.
A priori non, l'IP est de la simple collecte ADSL wanadoo. Ca semble être un mac perso à la maison en l'occurence. La personne a pas l'air très technique, on essaye d'en savoir un maximum avant de devoir la déranger plus pour essayer d'avoir des renseignements ! :p
- Dérivé du précédent. Si les clients sont derrière un proxy, est-il
possible que celui-ci, s'il ajoute son(es) propre(s) cookie(s) utilise le même nom de cookie(s) ? Du coup, l'ID de session serait remplacé.
Le nom de notre cookie est complétement custom ; et le pb arrive chez deux clients complètement différents.
Je vous tiens au courant des avancées, au cas où... :) (et si c'est un gros fail de notre part aussi !)
A+