st_re Опубликовано 24 августа, 2015 · Жалоба Временного редиректа 302 со страничкой авторизации вполне себе хватает. А со всякими более специфичными кодами всякие сами-себе-на-уме-браузеры не всегда корректно работают. Можно погуглить по словам captive portal. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 24 августа, 2015 · Жалоба Как редиректить то хттпс? (Так чтобы правильно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 24 августа, 2015 · Жалоба Как редиректить то хттпс? (Так чтобы правильно) Как я понял - никак, не предусмотрено конструкцией, так как сертификаты проверяются ДО отправки запроса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 августа, 2015 · Жалоба Можно погуглить по словам captive portal. Мельком погуглил. Как я понимаю это не совсем то что мне нужно. Потому что цели разныеМне нужно не авторизовать абонента, а идентифицировать. Соответственно нужен его мобильник, потому что если если "дяди" попросят предоставить данные кто это написал - его мак их никак не устроит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 25 августа, 2015 · Жалоба 1. Берете Mikrotik и настраиваете там Hotspot (как ни странно - но, кмк, лучшее решение в лоу-сегменте за свои деньги. я именно про hotspot-функции) 2. Берете валидный сертификат (хоть у китайцев, хоть покупаете) 3. На микротике включаете https-auth. ??? PROFIT! Гуглы-фейсбуки успешно редиректятся. С самоподписанными будет ругань, ессно, с валидным не проверял еще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 августа, 2015 · Жалоба 1. Берете Mikrotik и настраиваете там Hotspot (как ни странно - но, кмк, лучшее решение в лоу-сегменте за свои деньги. я именно про hotspot-функции) 2. Берете валидный сертификат (хоть у китайцев, хоть покупаете) 3. На микротике включаете https-auth. ??? PROFIT! Гуглы-фейсбуки успешно редиректятся. С самоподписанными будет ругань, ессно, с валидным не проверял еще. будет тоже самое:http://forum.nag.ru/forum/index.php?showtopic=88566 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 августа, 2015 · Жалоба Можно погуглить по словам captive portal. Мельком погуглил. Как я понимаю это не совсем то что мне нужно. Потому что цели разныеМне нужно не авторизовать абонента, а идентифицировать. Соответственно нужен его мобильник, потому что если если "дяди" попросят предоставить данные кто это написал - его мак их никак не устроит Послать СМС и получить ответ это вторая половина проблемы. Я писал только про часть проблемы : "завернуть на страничку". Что написать и просить сделать на самой страничке, это вы сами решайте. СМС сервисов их есть на рынке. Изучите почем и условия. Тут была тема с полгода-чуть больше назад как раз про проблемы и способа решения СМС оповещений. Там люди делились через кого они шлют и какие там проблемы. напрограмить страничку дергающую отправку СМС и ожидающую ввода отправленного кода помоему несложно. зы, я кстати не очень уверен, что дядь сильно обрадует номер мобильника. Это ж им потом после вас еще раз в суд топать, запрос оператору писать на выяснение кто там за номером 333222111 прячется. Хотя мосметрошный вай фай пока устраивает. не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 25 августа, 2015 · Жалоба те, кому очень надо сделать плохое дело, будут коды посылать на фри-смс-сервисы, а не на свой телефон Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 августа, 2015 · Жалоба те, кому очень надо сделать плохое дело, будут коды посылать на фри-смс-сервисы, а не на свой телефон Я так понимаю задача больше не сделать мир чище, а отбиться от желаний дядь в погонах.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 25 августа, 2015 · Жалоба зы, я кстати не очень уверен, что дядь сильно обрадует номер мобильника. Это ж им потом после вас еще раз в суд топать, запрос оператору писать на выяснение кто там за номером 333222111 прячется. Хотя мосметрошный вай фай пока устраивает. не знаю. деди сказали что это то, что надо. Жаль, что https не получится красиво редиректить :( Тут также писали про разный вид значка "wifi" - а на каком это телефоне? У себя посмотрел - никакой разницы, всегда на телефоне выглядит одинаково Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 25 августа, 2015 · Жалоба будет тоже самое: Там было про самоподписанный. А я говорю взять серт с валидным CA и подписать им страницу, на которую вы делаете редирект. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 25 августа, 2015 · Жалоба Там было про самоподписанный. А я говорю взять серт с валидным CA и подписать им страницу, на которую вы делаете редирект. Нужны все-таки подробности, как это работает. На саму страничку, куда редирект делается, браузер ругаться не будет. Но редирект - это, грубо говоря, '307 Temporary Redirect ', пришедший от того сайта, куда пользователь обратился. А как его выдать, не перехватывая соединение с сайтом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 августа, 2015 · Жалоба будет тоже самое: Там было про самоподписанный. А я говорю взять серт с валидным CA и подписать им страницу, на которую вы делаете редирект. редиректить вы можете куда угодно. хоть на вообще на страницу без https. Проблема не в этом, а в том, что вы от имени гугла ходите отдать редирект (пользователь то идет не на вашу страничку а на https://www.google.com). и сертификат хочет видеть 1. выданный валидным СА 2. с именем www.google.com внутри, в том то и проблема. варианта 3 1. забить и отдавать со своим сертификатом, клиент будет видеть ругань и сам себе решать, ходить дальше или нет 2. сделать свой СА, поставить его всем своим потенциальным клиентам и им подписывать на лету сертификаты (в сквиде из последних есть на эту тему наработки например). помоему это фантастика (в плане поставит всем своим потенциальным клиентам свой СА) 3. Купить сертификат для своего СА у когото из доверенных и подписывать им.... тут 2 сложности. сначала трудно будет купить, и потом быстро сертификат за такое спалят и отзовут. гугл явно отслеживает попытки подписи своих доменов не своими сертификатами. Опять же говорят гугловые продукты на такие сертификаты все равно ругаются, при попытке подписывать гугловые домены не гугловым СА, будь он хоть 100 раз доверенным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 25 августа, 2015 · Жалоба 3. Купить сертификат для своего СА у когото из доверенных и подписывать им.... Один китайский СА недавно такой не так давно 'случайно' выдал. Так после того, как это отловили, оный CA к производителям браузеров чуть ли не на коленках приполз с 'не надо меня из предустановленного списка доверенных выносить'. Так что дураков не найдется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 августа, 2015 · Жалоба редиректить вы можете куда угодно. хоть на вообще на страницу без https. Проблема не в этом, а в том, что вы от имени гугла ходите отдать редирект (пользователь то идет не на вашу страничку а на https://www.google.com). и сертификат хочет видеть А если пользовать подменный dns? ну или фаерволом принудительно редиректить с 443 порта на нашу страницу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 26 августа, 2015 · Жалоба А если пользовать подменный dns? ну или фаерволом принудительно редиректить с 443 порта на нашу страницу Какая разница. Брайзер идет на google.com. В ответ хочет увидеть ответ (неважно, страничку или редирект), по каналу, который подтвержден сертификатом этого google.com. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 26 августа, 2015 · Жалоба А если пользовать подменный dns? ну или фаерволом принудительно редиректить с 443 порта на нашу страницу Еще раз по буквам. браузер запрашивая https://www.google.com делает соединение на 443 порт во что оно там сресолвилось и куда оно там попало по правилам в вашем фаерволе. и там должны отдать ssl ответ подписанный доверенным с точки зрения браузера СА на имя www.google.com. И что там внутри ответа - неважно в данном вопросе. Шифруется и подписывается само соединение. там унутре по тому соединению будет уже потом бегать голимый http. Когда научитесь на своем сервере отдавать подписанный ответ с www.google.com в сертификате, начинайте редиректить. Насколько я понимаю с гуглом и гуголобраузерами такое вообще не прокатит даже если вы пихнете валидный СА, они отдельно свои домены проверяют более тщательно и все такие попытки себе сливают. И это правильно. Нефиг MITM атаки делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 августа, 2015 · Жалоба Еще раз по буквам. браузер запрашивая https://www.google.com делает соединение на 443 порт во что оно там сресолвилось и куда оно там попало по правилам в вашем фаерволе. и там должны отдать ssl ответ подписанный доверенным с точки зрения браузера СА на имя www.google.com. И что там внутри ответа - неважно в данном вопросе. Шифруется и подписывается само соединение. там унутре по тому соединению будет уже потом бегать голимый http. Когда научитесь на своем сервере отдавать подписанный ответ с www.google.com в сертификате, начинайте редиректить. Насколько я понимаю с гуглом и гуголобраузерами такое вообще не прокатит даже если вы пихнете валидный СА, они отдельно свои домены проверяют более тщательно и все такие попытки себе сливают. И это правильно. Нефиг MITM атаки делать. т.е. security exception без вариантов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 26 августа, 2015 · Жалоба т.е. security exception без вариантов? В случае с гуглом и любого сайта с HSTS не будет security exception. Браузер не даст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boco Опубликовано 26 августа, 2015 · Жалоба В случае с гуглом и любого сайта с HSTS не будет security exception. Браузер не даст. с hsts вообще без вариантов получается? а то я слыхал, домрушники как-то все-таки делают редирект на заглушку для заблоченных ркн https-хостов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 26 августа, 2015 · Жалоба В случае с гуглом и любого сайта с HSTS не будет security exception. Браузер не даст. с hsts вообще без вариантов получается? а то я слыхал, домрушники как-то все-таки делают редирект на заглушку для заблоченных ркн https-хостов Не работает. Именно для тех сайтов, где HSTS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 26 августа, 2015 · Жалоба Ну с Яндексом и FB у меня получилось нормально (кроме ругани на CA, т.к. серт самоподписанный). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 августа, 2015 · Жалоба Ну с Яндексом и FB у меня получилось нормально (кроме ругани на CA, т.к. серт самоподписанный). У меня все браузеры так или иначе ругаются, если им на сайте подсовывают другой, новый сертификат, отличающийся от сертификата предъявленного в прошлое посещение. Firefox например гигантскими портянками сравнивает "новый" и "старый". слегка ***ывает яндекс, у них сертификаты мало того что иногда попутаны, ну может и не попутаны, а просто криво настроены алиасы и виртуальные хосты на httpd, так у них на разных хостах сертификаты выданы разными CA. пришлось для яндекса сделать исключение в правилах, потому что load balance у них через жопу настроен. перезапуск браузера или таймаут - новая сессия - новые хосты - новые сертификаты - новые алерты. вот прям сейчас яндекс.карту открыл. \не копипастится\ "хост vec03.maps.yandex.net предъявил сертификат для хоста img.fotki.yandex.ru. в прошлое посещение был предъявлен сертификат для vec.maps.yandex.net" "хост img.fotki.yandex.ru предъявил сертификат для хоста *.avatars.yandex.net." "новый" сертификат выдан для Yandex. "старый" сертификат выдан для Yandex LLC. при этом у "нового" сертификат, предъявленного сейчас, год действия может заканчиваться уже через месяц, а "старый" выдан на два года две недели назад. такое впечатление, что админы в яндексе пивом захлебываются вообще без присмотра. p.s. еще забавно когда некоторые сайты предъявляют корректные сертификаты comodo со сроком действия по два-три месяца (всего). соответственно они часто меняются. видимо у них там такие по акции бесплатно выдаются. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 26 августа, 2015 · Жалоба Firefox например гигантскими портянками сравнивает "новый" и "старый". Хм. Ванильный, кажется, так не делает. Какой плагин стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 августа, 2015 · Жалоба Хм. Ванильный, кажется, так не делает. Какой плагин стоит? Ванильный значком в адресной строке семафорит. но это малозаметно и надо кликать раза три за подробностями. Автоматически гигантские портянки выбрасывает certificate patrol. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...