Bonjour,
Je constate depuis quelques semaines concernant seloger.com (et autres sites du groupe) et depuis ce matin concernant boursorama.com une impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:
:squid.conf: forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for delete -> accès autorisé
Exemple: curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access / on this server.</p> </body></html>
Note intéressante: curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com" fonctionne
Il semblerait donc que boursorama n'accepte pas de requètes comportant un X forwarded for contenant une IP RFC1918.
Et vous, envoyez-vous un x-forwarded-for (à l'exterieur) ? Rejetez-vous les requètes dans lesquelles x forwarded for contient une IP RFC1918 ?
Est-ce une "appliance" crypto-communisto-castratrice ?
Merci
Laurent
PS: J'ai essayé depuis plusieurs AS/ranges différents.
Bonjour Laurent,
Très intéressant, j'ai fait un coup de grep dans les logs des sites qu'on héberge (on logue ce champs là en plus des éléments de base), je peux dire que des petites PME comme la SNCF et d'autres passent par plusieurs proxy qui envoie le x forward.
C'est peut être une mesure pour bloquer le surf perso depuis le bureau? :D
Ça sent une mise à jour de l'IPS.
Dire qu'il y avait déjà des sites qui bloquaient les X-Forwarded-For avec de l'IPv6, s'ils commencent à bloquer la RFC1918 comment allons nous pouvoir glander ... heu travailler !!!!
Le 13 novembre 2014 17:27, Laurent CARON lcaron@unix-scripts.info a écrit :
On 13/11/2014 16:22, Wallace wrote:
C'est peut être une mesure pour bloquer le surf perso depuis le bureau? :D
Seloger et boursorama n'auraient (à mon avis) aucun intérêt à bloquer volontairement le surf "perso" depuis le bureau...mais on est pas encore vendredi... ;)
Liste de diffusion du FRsAG http://www.frsag.org/
Le 13 novembre 2014 17:32:13 CET, Laurent Laurent laurent.lecomte95@gmail.com a écrit :
Ça sent une mise à jour de l'IPS.
Dire qu'il y avait déjà des sites qui bloquaient les X-Forwarded-For avec de l'IPv6, s'ils commencent à bloquer la RFC1918 comment allons nous pouvoir glander ... heu travailler !!!!
Si les équipes IT de Boursorama/seloger/...peuvent m'éclairer...
Bonsoir la liste, Le problème ne serait pas dû à une mauvaise implémentation de la RFC2324 ? http://tools.ietf.org/html/rfc2324 In french: http://goo.gl/bpvmjQ Bon WE, Eric ROLLAND AS42929 - RE515-RIPE
------------------------------------------------------------------------ *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 Info réseau : @AS42929 https://twitter.com/AS42929 - NOC Artewan https://noc.artewan.net/
*artefact *Communication Interactive www.artefact.fr http://www.artefact.fr *artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique & Services IT www.arteone.fr http://www.arteone.fr
Le 13 nov. 2014 à 16:11, Laurent CARON lcaron@unix-scripts.info a écrit :
Bonjour,
Je constate depuis quelques semaines concernant seloger.com (et autres sites du groupe) et depuis ce matin concernant boursorama.com une impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:
:squid.conf: forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for delete -> accès autorisé
Exemple: curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access / on this server.</p> </body></html>
Note intéressante: curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com" fonctionne
Il semblerait donc que boursorama n'accepte pas de requètes comportant un X forwarded for contenant une IP RFC1918.
Et vous, envoyez-vous un x-forwarded-for (à l'exterieur) ? Rejetez-vous les requètes dans lesquelles x forwarded for contient une IP RFC1918 ?
Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant" :)
Pour info :
forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for off -> (ma valeur par défaut) -> accès interdit à ces sites forwarded_for delete -> accès autorisé
J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a delete même si pour les sites en questions ils ne savent plus qui est derrière le proxy.
Ca règle le problème c'est le principal (pour les gens qui sont derrière les proxy). La cerise sur le gateau c'est que pour des sites illicites ou troués via des pubs a la con, ça cache l'adressage ip derrière le proxy et donc baisse le risque potentiel de recherche de moyen de contourner les diverses couches de sécu.
Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des reverses proxy et donc dépendre de cet header...
Xavier
On 14/11/2014 09:52, Xavier Beaudouin wrote:
Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant" :)
S'ils sont au courant, alors tout va bien ;)
Pour info :
forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for off -> (ma valeur par défaut) -> accès interdit à ces sites forwarded_for delete -> accès autorisé
J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a delete même si pour les sites en questions ils ne savent plus qui est derrière le proxy.
En effet, ça permet de regl^W contourner le problème.
Ca règle le problème c'est le principal (pour les gens qui sont derrière les proxy). La cerise sur le gateau c'est que pour des sites illicites ou troués via des pubs a la con, ça cache l'adressage ip derrière le proxy et donc baisse le risque potentiel de recherche de moyen de contourner les diverses couches de sécu.
Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des reverses proxy et donc dépendre de cet header...
Soit ils ont été démarché par le même consultant qui leur a fourgué une security appliance, soit ils ont mis en place un jeu de règles sans en évaluer les conséquences.
Bon 'dredi.
On 13/11/2014 16:11, Laurent CARON wrote:
Bonjour,
Je constate depuis quelques semaines concernant seloger.com (et autres sites du groupe) et depuis ce matin concernant boursorama.com une impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:
...snip...
Bonjour,
Il semblerait que seloger n'accepte en effet plus de champ X-Forwarded-For contenant plus d'une adresse IP.
http://www.bortzmeyer.org/7239.html
% curl --header "Forwarded-For: 8.8.8.8 1.1.1.1" www.seloger.com renvoie une erreur 500
% curl --header "Forwarded: for=192.0.2.60;proto=http;by=203.0.113.43" www.seloger.com est OK
Le header X-Forwarded-For non normalisé, contenant plus de 1 IP, serait donc persona non grata pour certains IDS/IPS/... ?
Un client avec exactement le même souci s'en ai rendu compte avec plusieurs retours de bugs fait à la dsi, je lui explique les raisons, conclusion du DSI, "ok ils veulent pas nous voir pas de soucis on ira sur d'autres sites, mettez en place une redirection pour que ça soit transparent" du coup tu fais seloger.com on redirige vers un concurrent. Pour Boursorama les comptes de la boite n'y sont pas, le personnel qui y va est redirigé sur une page expliquant que ce site n'autorise pas l'entreprise à s'y connecter. En même temps les gens consultent leurs comptes sur leurs smartphones en majorité.
Finalement j'aime bien cette solution, ils veulent se priver de grosses boites en client potentiels ok on va voir ailleurs c'est pas à nous de changer.
Pour information c'est la même boite qui lorsque MacOS Lion est sorti avec le clone maison de Samba recodé avec les pieds (pour cause de passage GPLv3), tous les anciens Mac en 10.6 arrivaient à se connecter à tous les partages windows et les nouveaux sous 10.7 n'y arrivaient plus. Chez Apple on ne peut pas installer de version inférieur à celle livrée avec l'ordi, du coup les nouveaux ordis ne pouvaient plus s'intégrer dans le réseau. Au lieu d'appliquer un patch à l'arrache fait par les constructeurs de Nas alors que Samba marche très bien, même réaction, Apple veut plus de ses ordis chez nous, hé ben non on sera plus client chez eux.
Tous les nouveaux collaborateurs ont eu des Dell par la suite et cela a permis aussi d'étudier à nouveau le poste full Linux. Depuis ça a prit, les gens migrent sous Ubuntu dans cette boite et les derniers possesseurs de Mac savent qu'ils vont y passer aussi. Mais comme ce sont les nouveaux collaborateurs qui ont essuyés les plâtres, ceux qui migrent maintenant sont sereins.
Je l'aime bien ce client, si seulement ils pouvaient être tous comme ça.
Bonjour,
% curl --header "Forwarded-For: 8.8.8.8 1.1.1.1" www.seloger.com renvoie une erreur 500
D'un point de vue HTTP, tu n'as envoyé qu'un header HTTP X-Forwarded-For qui contient la chaine de caractère "8.8.8.8 1.1.1.1" et qui n'est donc pas une adresse (ni deux) IP. Si tu veux envoyer 2 adresses IP, tu as deux solutions: curl --header "Forwarded-For: 8.8.8.8, 1.1.1.1" www.seloger.com ou curl --header "Forwarded-For: 8.8.8.8" --header "Forwarded-For: 1.1.1.1" www.seloger.com
Baptiste
On Wed, Nov 26, 2014 at 04:54:41PM +0100, Baptiste bedis9@gmail.com wrote a message of 20 lines which said:
Si tu veux envoyer 2 adresses IP, tu as deux solutions: curl --header "Forwarded-For: 8.8.8.8, 1.1.1.1" www.seloger.com ou curl --header "Forwarded-For: 8.8.8.8" --header "Forwarded-For: 1.1.1.1" www.seloger.com
Mais le mieux serait d'envoyer l'en-tête HTTP standard...