[st_re]

Временного редиректа 302 со страничкой авторизации вполне себе хватает. А со всякими более специфичными кодами всякие сами-себе-на-уме-браузеры не всегда корректно работают.

 

Можно погуглить по словам captive portal.

[zhenya`]

Как редиректить то хттпс? (Так чтобы правильно)

[azhur]

Как редиректить то хттпс? (Так чтобы правильно)

Как я понял - никак, не предусмотрено конструкцией, так как сертификаты проверяются ДО отправки запроса.

[Butch3r]

Можно погуглить по словам captive portal.

Мельком погуглил. Как я понимаю это не совсем то что мне нужно. Потому что цели разные

Мне нужно не авторизовать абонента, а идентифицировать. Соответственно нужен его мобильник, потому что если если "дяди" попросят предоставить данные кто это написал - его мак их никак не устроит

[Night_Snake]

1. Берете Mikrotik и настраиваете там Hotspot (как ни странно - но, кмк, лучшее решение в лоу-сегменте за свои деньги. я именно про hotspot-функции)

2. Берете валидный сертификат (хоть у китайцев, хоть покупаете)

3. На микротике включаете https-auth.

???

PROFIT!

 

Гуглы-фейсбуки успешно редиректятся. С самоподписанными будет ругань, ессно, с валидным не проверял еще.

[Butch3r]

1. Берете Mikrotik и настраиваете там Hotspot (как ни странно - но, кмк, лучшее решение в лоу-сегменте за свои деньги. я именно про hotspot-функции)

2. Берете валидный сертификат (хоть у китайцев, хоть покупаете)

3. На микротике включаете https-auth.

???

PROFIT!

 

Гуглы-фейсбуки успешно редиректятся. С самоподписанными будет ругань, ессно, с валидным не проверял еще.

будет тоже самое:

http://forum.nag.ru/forum/index.php?showtopic=88566

[st_re]

Можно погуглить по словам captive portal.

Мельком погуглил. Как я понимаю это не совсем то что мне нужно. Потому что цели разные

Мне нужно не авторизовать абонента, а идентифицировать. Соответственно нужен его мобильник, потому что если если "дяди" попросят предоставить данные кто это написал - его мак их никак не устроит

 

Послать СМС и получить ответ это вторая половина проблемы. Я писал только про часть проблемы : "завернуть на страничку". Что написать и просить сделать на самой страничке, это вы сами решайте. СМС сервисов их есть на рынке. Изучите почем и условия. Тут была тема с полгода-чуть больше назад как раз про проблемы и способа решения СМС оповещений. Там люди делились через кого они шлют и какие там проблемы. напрограмить страничку дергающую отправку СМС и ожидающую ввода отправленного кода помоему несложно.

 

зы, я кстати не очень уверен, что дядь сильно обрадует номер мобильника. Это ж им потом после вас еще раз в суд топать, запрос оператору писать на выяснение кто там за номером 333222111 прячется. Хотя мосметрошный вай фай пока устраивает. не знаю.

[Heggi]

те, кому очень надо сделать плохое дело, будут коды посылать на фри-смс-сервисы, а не на свой телефон

[st_re]

те, кому очень надо сделать плохое дело, будут коды посылать на фри-смс-сервисы, а не на свой телефон

 

Я так понимаю задача больше не сделать мир чище, а отбиться от желаний дядь в погонах....

[Butch3r]

зы, я кстати не очень уверен, что дядь сильно обрадует номер мобильника. Это ж им потом после вас еще раз в суд топать, запрос оператору писать на выяснение кто там за номером 333222111 прячется. Хотя мосметрошный вай фай пока устраивает. не знаю.

деди сказали что это то, что надо.

 

Жаль, что https не получится красиво редиректить :(

 

Тут также писали про разный вид значка "wifi" - а на каком это телефоне? У себя посмотрел - никакой разницы, всегда на телефоне выглядит одинаково

[Night_Snake]

будет тоже самое:

Там было про самоподписанный. А я говорю взять серт с валидным CA и подписать им страницу, на которую вы делаете редирект.

[Sergey Gilfanov]

Там было про самоподписанный. А я говорю взять серт с валидным CA и подписать им страницу, на которую вы делаете редирект.

Нужны все-таки подробности, как это работает. На саму страничку, куда редирект делается, браузер ругаться не будет.

Но редирект - это, грубо говоря, '307 Temporary Redirect ', пришедший от того сайта, куда пользователь обратился. А как его выдать, не перехватывая соединение с сайтом?

[st_re]

будет тоже самое:

Там было про самоподписанный. А я говорю взять серт с валидным CA и подписать им страницу, на которую вы делаете редирект.

 

редиректить вы можете куда угодно. хоть на вообще на страницу без https. Проблема не в этом, а в том, что вы от имени гугла ходите отдать редирект (пользователь то идет не на вашу страничку а на https://www.google.com). и сертификат хочет видеть

1. выданный валидным СА

2. с именем www.google.com внутри,

в том то и проблема. варианта 3

1. забить и отдавать со своим сертификатом, клиент будет видеть ругань и сам себе решать, ходить дальше или нет

2. сделать свой СА, поставить его всем своим потенциальным клиентам и им подписывать на лету сертификаты (в сквиде из последних есть на эту тему наработки например). помоему это фантастика (в плане поставит всем своим потенциальным клиентам свой СА)

3. Купить сертификат для своего СА у когото из доверенных и подписывать им.... тут 2 сложности. сначала трудно будет купить, и потом быстро сертификат за такое спалят и отзовут. гугл явно отслеживает попытки подписи своих доменов не своими сертификатами. Опять же говорят гугловые продукты на такие сертификаты все равно ругаются, при попытке подписывать гугловые домены не гугловым СА, будь он хоть 100 раз доверенным.

[Sergey Gilfanov]

3. Купить сертификат для своего СА у когото из доверенных и подписывать им....

Один китайский СА недавно такой не так давно 'случайно' выдал. Так после того, как это отловили, оный CA к производителям браузеров чуть ли не на коленках приполз с 'не надо меня из предустановленного списка доверенных выносить'. Так что дураков не найдется.

[Night_Snake]

редиректить вы можете куда угодно. хоть на вообще на страницу без https. Проблема не в этом, а в том, что вы от имени гугла ходите отдать редирект (пользователь то идет не на вашу страничку а на https://www.google.com). и сертификат хочет видеть

А если пользовать подменный dns? ну или фаерволом принудительно редиректить с 443 порта на нашу страницу

[Sergey Gilfanov]

А если пользовать подменный dns? ну или фаерволом принудительно редиректить с 443 порта на нашу страницу

Какая разница. Брайзер идет на google.com. В ответ хочет увидеть ответ (неважно, страничку или редирект), по каналу, который подтвержден сертификатом этого google.com.

[st_re]

А если пользовать подменный dns? ну или фаерволом принудительно редиректить с 443 порта на нашу страницу

 

Еще раз по буквам. браузер запрашивая https://www.google.com делает соединение на 443 порт во что оно там сресолвилось и куда оно там попало по правилам в вашем фаерволе. и там должны отдать ssl ответ подписанный доверенным с точки зрения браузера СА на имя www.google.com. И что там внутри ответа - неважно в данном вопросе. Шифруется и подписывается само соединение. там унутре по тому соединению будет уже потом бегать голимый http. Когда научитесь на своем сервере отдавать подписанный ответ с www.google.com в сертификате, начинайте редиректить. Насколько я понимаю с гуглом и гуголобраузерами такое вообще не прокатит даже если вы пихнете валидный СА, они отдельно свои домены проверяют более тщательно и все такие попытки себе сливают. И это правильно. Нефиг MITM атаки делать.

[Night_Snake]

Еще раз по буквам. браузер запрашивая https://www.google.com делает соединение на 443 порт во что оно там сресолвилось и куда оно там попало по правилам в вашем фаерволе. и там должны отдать ssl ответ подписанный доверенным с точки зрения браузера СА на имя www.google.com. И что там внутри ответа - неважно в данном вопросе. Шифруется и подписывается само соединение. там унутре по тому соединению будет уже потом бегать голимый http. Когда научитесь на своем сервере отдавать подписанный ответ с www.google.com в сертификате, начинайте редиректить. Насколько я понимаю с гуглом и гуголобраузерами такое вообще не прокатит даже если вы пихнете валидный СА, они отдельно свои домены проверяют более тщательно и все такие попытки себе сливают. И это правильно. Нефиг MITM атаки делать.

т.е. security exception без вариантов?

[Sergey Gilfanov]

т.е. security exception без вариантов?

В случае с гуглом и любого сайта с HSTS не будет security exception. Браузер не даст.

[boco]

В случае с гуглом и любого сайта с HSTS не будет security exception. Браузер не даст.

с hsts вообще без вариантов получается? а то я слыхал, домрушники как-то все-таки делают редирект на заглушку для заблоченных ркн https-хостов

[Butch3r]

В случае с гуглом и любого сайта с HSTS не будет security exception. Браузер не даст.

с hsts вообще без вариантов получается? а то я слыхал, домрушники как-то все-таки делают редирект на заглушку для заблоченных ркн https-хостов

Не работает. Именно для тех сайтов, где HSTS.

[Night_Snake]

Ну с Яндексом и FB у меня получилось нормально (кроме ругани на CA, т.к. серт самоподписанный).

[stas_k]

Ну с Яндексом и FB у меня получилось нормально (кроме ругани на CA, т.к. серт самоподписанный).

У меня все браузеры так или иначе ругаются, если им на сайте подсовывают другой, новый сертификат, отличающийся от сертификата предъявленного в прошлое посещение.

 

Firefox например гигантскими портянками сравнивает "новый" и "старый". слегка ***ывает яндекс, у них сертификаты мало того что иногда попутаны, _{ну может и не попутаны, а просто криво настроены алиасы и виртуальные хосты на httpd}, так у них на разных хостах сертификаты выданы разными CA. пришлось для яндекса сделать исключение в правилах, потому что load balance у них через жопу настроен. перезапуск браузера или таймаут - новая сессия - новые хосты - новые сертификаты - новые алерты.

 

вот прям сейчас яндекс.карту открыл. \не копипастится\

"хост vec03.maps.yandex.net предъявил сертификат для хоста img.fotki.yandex.ru. в прошлое посещение был предъявлен сертификат для vec.maps.yandex.net"

"хост img.fotki.yandex.ru предъявил сертификат для хоста *.avatars.yandex.net."

"новый" сертификат выдан для Yandex.

"старый" сертификат выдан для Yandex LLC.

при этом у "нового" сертификат, предъявленного сейчас, год действия может заканчиваться уже через месяц, а "старый" выдан на два года две недели назад.

 

такое впечатление, что админы в яндексе пивом захлебываются вообще без присмотра.

 

p.s. еще забавно когда некоторые сайты предъявляют корректные сертификаты comodo со сроком действия по два-три месяца (всего). соответственно они часто меняются. видимо у них там такие по акции бесплатно выдаются. :)

[Sergey Gilfanov]

Firefox например гигантскими портянками сравнивает "новый" и "старый".

Хм. Ванильный, кажется, так не делает. Какой плагин стоит?

[stas_k]

Хм. Ванильный, кажется, так не делает. Какой плагин стоит?

Ванильный значком в адресной строке семафорит. но это малозаметно и надо кликать раза три за подробностями.

Автоматически гигантские портянки выбрасывает certificate patrol.