Le 27/04/2011 21:59, Jean Baptiste FAVRE a écrit :
Je suppose que le cookie (de session ?) est généré (et donc géré) par le(s) serveur(s) applicatif(s) et non par le reverse ?
Tout à fait.
1. Est-il envisageable de faire sauter le SSL entre le reverse et le serveur applicatif ? Ce qui simplifierait l'écoute réseau.
Il n'y a pas de SSL entre le reverse et le serveur d'appli. L'écoute réseau ne se fait pas là pour isoler plus facilement le trafic des clients où ça pose problème. (client) <---Internet/443/https--> (frontal ssl reverse) <---LAN/2501/http---> (serveur d'appli)
2. Sinon, cas à la con où l'applicatif se préoccupe de vérifier que le flux est bien en SSL, est-il envisageable de forcer l'utilisation du chiffrement null entre le reverse et le serveur applicatif ? Le flux circulerait alors en clair bien qu'en SSL (négo toussa) ce qui simplifierait l'écoute réseau.
L'applicatif ne voit rien du SSL donc en pratique dans mon cas.
3. Passer le(s) serveur(s) applicatif(s) en mode debug, éventuellement juste pour ces utilisateurs là.
On va arriver à ça si j'arrive pas à m'en sortir avec Wireshark :) Mais j'aimais bien la possibilité d'écouter au niveau de mon point de sortie sur Internet afin de voir directement le problème.
4. Ces clients sont-ils derrière un proxy ? Celui-ci ne ferait-il pas un peu de ménage dans les headers, voire ajouterait ces propres cookies (de mémoire, il ne peut y en avoir plus de 4 par requête. Du coup, la requête pourrait être débarrassée du cookie de session.
A priori non, l'IP est de la simple collecte ADSL wanadoo. Ca semble être un mac perso à la maison en l'occurence. La personne a pas l'air très technique, on essaye d'en savoir un maximum avant de devoir la déranger plus pour essayer d'avoir des renseignements ! :p
5. Dérivé du précédent. Si les clients sont derrière un proxy, est-il possible que celui-ci, s'il ajoute son(es) propre(s) cookie(s) utilise le même nom de cookie(s) ? Du coup, l'ID de session serait remplacé.
Le nom de notre cookie est complétement custom ; et le pb arrive chez deux clients complètement différents. Je vous tiens au courant des avancées, au cas où... :) (et si c'est un gros fail de notre part aussi !) A+