myth Опубликовано 5 ноября, 2017 · Жалоба wireshark бы что-то объяснил Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 ноября, 2017 · Жалоба В 11/4/2017 в 22:41, Susanin сказал: Дом.ру как то умудряется https запрос переадресовывать на свою заглушку "Активируйте тариф"... Присоединяюсь, tcpdump этого чуда в студию, пожалуйста. (если нет "своего" корневого сертификата от дом-ру, конечно, это не интересно.) Вообщето это именно то, для чего https и придумывали, чтобы каждый встречный-поперечный транизит не корырял трафик своими руками. Как в плане посмотреть, так и в плане поменять. а редирект (на заглушку или просто на очень похожий на инет банк сайтец, это не важно) это именно поменять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
911 Опубликовано 6 ноября, 2017 · Жалоба может быть когда-нибудь придумают расширение для https, чтобы перекидывать на заглушку, а пока никто пруф не предоставил :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 ноября, 2017 · Жалоба Из заглушек я так понимаю известно только каптив портальные раширения имени M$/Google/Apple которые на мобилах чекают, что вместо их сервера отзывается чтото другое и предлагают сходить на то другое.. Но это ни разу не редирект по https, они чекают через http, реагируют вне браузера и, кажется, на стационарах такое не сделано нигде. Винда только детектит, что интернета нет, но сходить не предлагает. В общем как только десктопы научатся не просто понимать что "денег нет", а вываливать страницу "дай денег" от провайдера, так сразу и заработает :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 7 ноября, 2017 · Жалоба 11 часов назад, st_re сказал: Присоединяюсь, tcpdump этого чуда в студию, пожалуйста. Подозреваю, что обычного curl для этого достаточно. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 7 ноября, 2017 · Жалоба 14 часов назад, st_re сказал: Из заглушек я так понимаю известно только каптив портальные раширения имени M$/Google/Apple которые на мобилах чекают, что вместо их сервера отзывается чтото другое и предлагают сходить на то другое.. Но это ни разу не редирект по https, они чекают через http, реагируют вне браузера и, кажется, на стационарах такое не сделано нигде. Винда только детектит, что интернета нет, но сходить не предлагает. В общем как только десктопы научатся не просто понимать что "денег нет", а вываливать страницу "дай денег" от провайдера, так сразу и заработает :) Винда (то ли 8-ка, то ли 10-ка) на вайфай-точке точно отлавливала кептив-портал и выводила кнопку-ссылку "Подключиться к сети" в боковой панели с открытием в браузере нужного УРЛа. Не уверен, или будет по проводу такое же делать. Только надо выцепить правильный формат и адреса, а то у каждого вендора оно ломится в свою сторону и ждет свой код ответа/формат/урл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 8 ноября, 2017 · Жалоба Может 10-ка, 8.1 вроде как не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 8 ноября, 2017 · Жалоба В 11/7/2017 в 14:05, Mystray сказал: Только надо выцепить правильный формат и адреса, а то у каждого вендора оно ломится в свою сторону и ждет свой код ответа/формат/урл HTTP Status Code 511 И ответ нужный, и URL для активации передается. Кто-нибудь попробуйте. А то у меня полигон состоит из ноута в качестве сервера, и смартТВ в качестве клиента :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 ноября, 2017 · Жалоба В 11/2/2017 в 22:22, default_vlan сказал: rdr в pf. Я разве что-то писал про сертификаты? ну и чем это вам поможет если браузер ждет TLS хендшейка а ему HTTP ответ приходит?... В 11/4/2017 в 21:41, Susanin сказал: Дом.ру как то умудряется https запрос переадресовывать на свою заглушку "Активируйте тариф"... 1) в каких браузерах? 2) пролазит ли через роутер? В 11/7/2017 в 14:05, Mystray сказал: Винда (то ли 8-ка, то ли 10-ка) на вайфай-точке точно отлавливала кептив-портал и выводила кнопку-ссылку "Подключиться к сети" в боковой панели с открытием в браузере нужного УРЛа. dhcp option 252, RFC7710 скорее всего. прибивается любым сохо роутером так что бесполезна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
default_vlan Опубликовано 8 ноября, 2017 · Жалоба 1 час назад, NiTr0 сказал: ну и чем это вам поможет если браузер ждет TLS хендшейка а ему HTTP ответ приходит?... Тем не менее оно съедает это с перечеркнутым https и сообщением об опасности. Также можно перенаправлять на свою https-заглушку, мало-мальски подписанную. Благо сейчас даже бесплатный сервис для подобных дел есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 8 ноября, 2017 (изменено) · Жалоба 1 час назад, default_vlan сказал: с перечеркнутым https и сообщением об опасности Значит там не HTTP в ответе, а HTTPS с самоподписанным сертификатом. Никакого редиректа не произойдёт пока юзер не нажмёт "принять исключение / пропустить". Но даже так, нажать это дадут только в случае если настоящий хост не использовал HSTS. Изменено 8 ноября, 2017 пользователем rm_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 8 ноября, 2017 · Жалоба 1 час назад, default_vlan сказал: Тем не менее оно съедает это с перечеркнутым https и сообщением об опасности. Также можно перенаправлять на свою https-заглушку, мало-мальски подписанную. Благо сейчас даже бесплатный сервис для подобных дел есть. Вообщето глубоко наплевать, на то подписанный ли у Вас сертификат, если имя в нем не совпадает с тем, куда шел браузер.. так что даже не напрягайтесь, ставьте самоподписанный. или пользователь нажмет на "мне похер" и увидит вашу заглушку или не нажмет и не увидит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Irka-kefirka Опубликовано 28 ноября, 2017 · Жалоба В 08.11.2017 в 22:59, st_re сказал: Вообщето глубоко наплевать, на то подписанный ли у Вас сертификат, если имя в нем не совпадает с тем, куда шел браузер.. так что даже не напрягайтесь, ставьте самоподписанный. или пользователь нажмет на "мне похер" и увидит вашу заглушку или не нажмет и не увидит. Согласен 100 процентов. Сколько бы подписан сертификат не был, но его валидность определяется 3 факторами. 1) Сроком истечения. 2) Кошерным удостоверяющим центром, выдавшим сертификат. 3) Собственно адресом ресурса, который этот сертификат подтверждает. И если первые 2 пункта мы спокойно реализуем, то 3-й... Так что ставьте самоподписанный, и рассказывайте абонам что не стоит боятся и добавлять в исключения сомнительный траф))))) Ну а в случае с HSTS так ваще, наверное, никакой сертификат не поможет А кстати, никто не в курсе, насколько надо быть крутым, чтобы юзать HSTS? Я имею ввиду, чтоб разрабы браузеров включали тебя в свой код для перехода в https при первом подключении? Это от количества трафа через твой ресурс зависит? Или надо быть супер-пупер интернет-банком? Прост интересуюсь для расширения кругозора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 29 ноября, 2017 · Жалоба 10 часов назад, Irka-kefirka сказал: А кстати, никто не в курсе, насколько надо быть крутым, чтобы юзать HSTS? Я имею ввиду, чтоб разрабы браузеров включали тебя в свой код для перехода в https при первом подключении? Это от количества трафа через твой ресурс зависит? Или надо быть супер-пупер интернет-банком? Прост интересуюсь для расширения кругозора. Чтобы пользоваться HSTS как таковым, вообще ничего не нужно, просто добавить соотв. заголовок в ответы сервера, тогда после первого визита на сайт он закэшируется в браузерах пользователей на указанное время (типично - ставится полгода, год), после чего при повторных визитах и обнаружении невалидного или недоверенного сертификата, сайт вообще не откроется. А то про что вы спрашиваете - это HSTS Preload. Чтобы режим HSTS для сайта шёл в браузере сразу искаропки. Для этого существует сайт https://hstspreload.org/, где можно добавить свой домен для включения в эти списки. Требований к популярности ресурса на странице не приводится, только ряд сугубо технических вещей (сам заголовок, редиректы и т.д.). Похоже что готовы включить вообще любого, что конечно вызывает вопросы, а не распухнет ли со временем этот список до гиганских размеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 21 декабря, 2017 · Жалоба Проверил еще раз сегодня. Итак, чистый https действительно не переводит на заглушку. Но это при попытке открыть ссылку вида https://vk.com А если просто попытаться открыть в браузере vk.com, без указания протокола, - то автоматически не происходит переход на https (тестировал на Chrome) - а так и шлет запрос по http и, соответственно, редиректит на заглушку. И еще. При простое браузера, без открытия вкладок (опять-же chrome) примерно раз в 5 минут идет запрос gstatic.com и срабатывает редирект - сама по себе открывается заглушка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 7 января, 2018 · Жалоба Апну тему. Мож у кого-то появились новые идеи!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 января, 2018 · Жалоба По поводу чего? Как обойти HSTS? Никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 января, 2018 · Жалоба Какие вам новые идеи, когда вы игнорируете мировые практики и стандарты!? Уже все встроили в гуй уведомления о том, что хотспот хочет авторизацию и для этого надо зайти на сайт, но вы всё хотите изговнить заглушками-редиректами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 8 января, 2018 · Жалоба 12 часов назад, Ivan_83 сказал: Уже все встроили в гуй уведомления о том, что хотспот хочет авторизацию и для этого надо зайти на сайт Ivan_83, еще бы ссылку на сабж. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 января, 2018 · Жалоба https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/ee126135(v=ws.10) У ведройда и огрызка общий механизм такой же, разница только в том что резолвится, что запрашивается и что ожидается. Я бы отдавал редирект на запрашиваемый файл, вроде он открывается как страница авторизации. Но по ссылке выше может быть что другое предлагают. Естессно нахальничать через это не выйдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...