[myth]

wireshark бы что-то объяснил

[st_re]

В 11/4/2017 в 22:41, Susanin сказал:

Дом.ру как то умудряется https запрос переадресовывать на свою заглушку "Активируйте тариф"...

Присоединяюсь, tcpdump этого чуда в студию, пожалуйста.

(если нет "своего" корневого сертификата от дом-ру, конечно, это не интересно.)

 

Вообщето  это именно то, для чего https и придумывали, чтобы каждый встречный-поперечный транизит не корырял трафик своими руками. Как в плане посмотреть, так и в плане поменять. а редирект (на заглушку или просто на очень похожий на инет банк сайтец, это не важно) это именно поменять.

[911]

может быть когда-нибудь придумают расширение для https, чтобы перекидывать на заглушку, а пока никто пруф не предоставил :(

[st_re]

Из заглушек я так понимаю известно только каптив портальные раширения имени M$/Google/Apple которые на мобилах чекают, что вместо их сервера отзывается чтото другое и предлагают сходить на то другое..  Но это ни разу не редирект по https, они чекают через http, реагируют вне браузера и, кажется, на стационарах такое не сделано нигде. Винда только детектит, что интернета нет, но сходить не предлагает. В общем как только десктопы научатся не просто понимать что "денег нет", а вываливать страницу "дай денег" от провайдера, так сразу и заработает :) 

[vop]

11 часов назад, st_re сказал:

Присоединяюсь, tcpdump этого чуда в студию, пожалуйста.

Подозреваю, что обычного curl для этого достаточно. :)

[Mystray]

14 часов назад, st_re сказал:

Из заглушек я так понимаю известно только каптив портальные раширения имени M$/Google/Apple которые на мобилах чекают, что вместо их сервера отзывается чтото другое и предлагают сходить на то другое..  Но это ни разу не редирект по https, они чекают через http, реагируют вне браузера и, кажется, на стационарах такое не сделано нигде. Винда только детектит, что интернета нет, но сходить не предлагает. В общем как только десктопы научатся не просто понимать что "денег нет", а вываливать страницу "дай денег" от провайдера, так сразу и заработает :) 

Винда (то ли 8-ка, то ли 10-ка) на вайфай-точке точно отлавливала кептив-портал и выводила кнопку-ссылку "Подключиться к сети" в боковой панели с открытием в браузере нужного УРЛа. Не уверен, или будет по проводу такое же делать.

Только надо выцепить правильный формат и адреса, а то у каждого вендора оно ломится в свою сторону и ждет свой код ответа/формат/урл

[st_re]

Может 10-ка, 8.1 вроде как не умеет.

[vop]

В 11/7/2017 в 14:05, Mystray сказал:

Только надо выцепить правильный формат и адреса, а то у каждого вендора оно ломится в свою сторону и ждет свой код ответа/формат/урл

HTTP Status Code 511

 

И ответ нужный,  и URL для активации передается. Кто-нибудь попробуйте. А то у меня полигон состоит из ноута в качестве  сервера, и смартТВ в качестве клиента :)

[NiTr0]

В 11/2/2017 в 22:22, default_vlan сказал:

rdr в pf. Я разве что-то писал про сертификаты? 

ну и чем это вам поможет если браузер ждет TLS хендшейка а ему HTTP ответ приходит?...

 

В 11/4/2017 в 21:41, Susanin сказал:

Дом.ру как то умудряется https запрос переадресовывать на свою заглушку "Активируйте тариф"...

1) в каких браузерах? 2) пролазит ли через роутер?

 

В 11/7/2017 в 14:05, Mystray сказал:

Винда (то ли 8-ка, то ли 10-ка) на вайфай-точке точно отлавливала кептив-портал и выводила кнопку-ссылку "Подключиться к сети" в боковой панели с открытием в браузере нужного УРЛа.

dhcp option 252, RFC7710 скорее всего. прибивается любым сохо роутером так что бесполезна.

[default_vlan]

1 час назад, NiTr0 сказал:

ну и чем это вам поможет если браузер ждет TLS хендшейка а ему HTTP ответ приходит?...

Тем не менее оно съедает это с перечеркнутым https и сообщением об опасности. Также можно перенаправлять на свою https-заглушку, мало-мальски подписанную. Благо сейчас даже бесплатный сервис для подобных дел есть.

[rm_]

1 час назад, default_vlan сказал:

с перечеркнутым https и сообщением об опасности

Значит там не HTTP в ответе, а HTTPS с самоподписанным сертификатом.

Никакого редиректа не произойдёт пока юзер не нажмёт "принять исключение / пропустить".

Но даже так, нажать это дадут только в случае если настоящий хост не использовал HSTS.

Изменено 8 ноября, 2017 пользователем rm_

[st_re]

1 час назад, default_vlan сказал:

Тем не менее оно съедает это с перечеркнутым https и сообщением об опасности. Также можно перенаправлять на свою https-заглушку, мало-мальски подписанную. Благо сейчас даже бесплатный сервис для подобных дел есть.

Вообщето глубоко наплевать, на то подписанный ли у Вас сертификат, если имя в нем не совпадает с тем, куда шел браузер.. так что даже не напрягайтесь, ставьте самоподписанный. или пользователь нажмет на "мне похер" и увидит  вашу заглушку или не нажмет и не увидит. 

[Irka-kefirka]

В 08.11.2017 в 22:59, st_re сказал:

Вообщето глубоко наплевать, на то подписанный ли у Вас сертификат, если имя в нем не совпадает с тем, куда шел браузер.. так что даже не напрягайтесь, ставьте самоподписанный. или пользователь нажмет на "мне похер" и увидит  вашу заглушку или не нажмет и не увидит. 

Согласен 100 процентов. Сколько бы подписан сертификат не был, но его валидность определяется 3 факторами.

1) Сроком истечения.

2) Кошерным удостоверяющим центром, выдавшим сертификат.

3) Собственно адресом ресурса, который этот сертификат подтверждает.

 

И если первые 2 пункта мы спокойно реализуем, то 3-й...

 

Так что ставьте самоподписанный, и рассказывайте абонам что не стоит боятся и добавлять в исключения сомнительный траф)))))

 

Ну а в случае с HSTS так ваще, наверное, никакой сертификат не поможет

 

А кстати, никто не в курсе, насколько надо быть крутым, чтобы юзать HSTS? Я имею ввиду, чтоб разрабы браузеров включали тебя в свой код для перехода в https при первом подключении? Это от количества трафа через твой ресурс зависит? Или надо быть супер-пупер интернет-банком? Прост интересуюсь для расширения кругозора.

[rm_]

 

10 часов назад, Irka-kefirka сказал:

А кстати, никто не в курсе, насколько надо быть крутым, чтобы юзать HSTS? Я имею ввиду, чтоб разрабы браузеров включали тебя в свой код для перехода в https при первом подключении? Это от количества трафа через твой ресурс зависит? Или надо быть супер-пупер интернет-банком? Прост интересуюсь для расширения кругозора.

Чтобы пользоваться HSTS как таковым, вообще ничего не нужно, просто добавить соотв. заголовок в ответы сервера, тогда после первого визита на сайт он закэшируется в браузерах пользователей на указанное время (типично - ставится полгода, год), после чего при повторных визитах и обнаружении невалидного или недоверенного сертификата, сайт вообще не откроется.

 

А то про что вы спрашиваете - это HSTS Preload. Чтобы режим HSTS для сайта шёл в браузере сразу искаропки. Для этого существует сайт https://hstspreload.org/, где можно добавить свой домен для включения в эти списки. Требований к популярности ресурса на странице не приводится, только ряд сугубо технических вещей (сам заголовок, редиректы и т.д.). Похоже что готовы включить вообще любого, что конечно вызывает вопросы, а не распухнет ли со временем этот список до гиганских размеров.

[Susanin]

Проверил еще раз сегодня.

Итак, чистый https действительно не переводит на заглушку. Но это при попытке открыть ссылку вида https://vk.com

А если просто попытаться открыть в браузере vk.com, без указания протокола, - то автоматически не происходит переход на https (тестировал на Chrome) - а так и шлет запрос по http и, соответственно, редиректит на заглушку.

И еще. При простое браузера, без открытия вкладок (опять-же chrome) примерно раз в 5 минут идет запрос gstatic.com и срабатывает редирект - сама по себе открывается заглушка.

[RN3DCX]

Апну тему.

Мож у кого-то появились новые идеи!?

[alibek]

По поводу чего?

Как обойти HSTS?

Никак.

[Ivan_83]

Какие вам новые идеи, когда вы игнорируете мировые практики и стандарты!?

 

Уже все встроили в гуй уведомления о том, что хотспот хочет авторизацию и для этого надо зайти на сайт, но вы всё хотите изговнить заглушками-редиректами.

[RN3DCX]

12 часов назад, Ivan_83 сказал:

Уже все встроили в гуй уведомления о том, что хотспот хочет авторизацию и для этого надо зайти на сайт

Ivan_83, еще бы ссылку на сабж.

[Ivan_83]

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/ee126135(v=ws.10)

 

У ведройда и огрызка общий механизм такой же, разница только в том что резолвится, что запрашивается и что ожидается.

Я бы отдавал редирект на запрашиваемый файл, вроде он открывается как страница авторизации. Но по ссылке выше может быть что другое предлагают.

Естессно нахальничать через это не выйдет.