[M-a-x-Z]

Сейчас очень много систем с веб-аутентификацией. В Wi-Fi и даже в кабеле.

 

Пользователь, обычно в браузере пытается зайти на нужную страницу и его форвардит на страницу входа.

Технически всё понятно - пограничный маршрутник меняет IP-адрес назначения в IP-пакете, следующем на произвольный сервер, порт 80.

Но с давнего времени андроиды, а с недавнего времени десктопы (в FF, например) стали выводить плашку "требуется аутентификация в сети. Перейти на страницу входа?" пользователю вместо прямого форварда.

 

Вопрос чисто теоретический: а как браузер узнаёт, что форвард выполнил именно шлюз доступа в интернет? Ведь в обратных пакета от портала, как я понимаю, тоже происходит обратная подмена адреса источника на тот, к которому клиент обращался изначально.

И как это работает для HTTPS, ведь там тоже не выдаётся страшное сообщение о том, что подмена узла, В всё тоже нейтральное предупреждение о наличие Captive-портала.

 

То ли в гугле забанили,  то ли не могу правильно вопрос сформулировать. Может кто подкинет инфу, где почитать можно про логику браузеров.

 

 

 

[ShyLion]

22 minutes ago, M-a-x-Z said:

Вопрос чисто теоретический: а как браузер узнаёт, что форвард выполнил именно шлюз доступа в интернет?

Запрашивает документ с заранее известным содержимым. Если в ответе не то, что должно быть - портал.

 

23 minutes ago, M-a-x-Z said:

И как это работает для HTTPS

Никак не работает.

[M-a-x-Z]

А есть какие-то таблицы по браузерам -  кто куда лезет или rfc описание алгоритма или устоявшийся термин-название?

[snvoronkov]

Captive Portal

[alibek]

3 часа назад, M-a-x-Z сказал:

А есть какие-то таблицы по браузерам

По браузерам смысла в таких таблицах мало.

По ОС нужно смотреть.

[ShyLion]

Тут каждый суслик агроном, покачто. Не договариваются я думаю намеренно, чтобы порталостроители не могли обманывать девайсы и подсовывать всякое нехорошее.

[TheUser]

4 часа назад, alibek сказал:

По браузерам смысла в таких таблицах мало.

По ОС нужно смотреть.

По ОС + производителям.

У Apple эта тема стандартизирована, гуглится по Apple Captive Network Assistant.

А у Андройдов - херачат кто во что горазд. Поэтому периодически приходится смотреть логи WiFi хотспота и выцеплять оттуда новые адреса.

 

Кстати, оказывается, даже RFC пол это дело запилили - 7710, https://tools.ietf.org/html/rfc7710

[alibek]

25 минут назад, TheUser сказал:

А у Андройдов - херачат кто во что горазд

И у андроидов тоже стандарт, что-то типа http://connectivitycheck.gstatic.com/generate_204.

[TheUser]

51 минуту назад, alibek сказал:

И у андроидов тоже стандарт, что-то типа http://connectivitycheck.gstatic.com/generate_204.

Этот стандарт соблюдает, видимо, только сам гугл.

Для остальных производителей на базе Андройда приходилось добавлять кучу дерьма.

[M-a-x-Z]

В 20.04.2018 в 17:50, TheUser сказал:

Кстати, оказывается, даже RFC пол это дело запилили - 7710, https://tools.ietf.org/html/rfc7710

"Code: The Captive-Portal DHCPv4 option (160) (one octet)" - очень интересно, удобно и логично. Жаль, что походу все колхозят (((

 

Ща РКН детекторы каптив-порталов-то поблокирует ((

 

[alibek]

1 час назад, M-a-x-Z сказал:

очень интересно, удобно и логично

Только не работает.

[M-a-x-Z]

58 минут назад, alibek сказал:

Только не работает.

Не "не работает", а "никто не поддерживает" (((

[ShyLion]

Коллеги, какой смысл "стандартизировать" проверку наличия каптива?

С точки зрения ОС и бразуера достаточно зафиксировать сам факт наличия каптива и уведомить пользователя, чтобы тот предпринял какие-то действия.

 

[alibek]

Ну потому что переадресации могут быть разными — нет денег, запрещенный ресурс, обязательное рекламное объявление.

[ShyLion]

1 minute ago, alibek said:

Ну потому что переадресации могут быть разными — нет денег, запрещенный ресурс, обязательное рекламное объявление.

Какая разница какие причины? Выводи приглашение и все, администратор портала сам решит какую фигу показать.

 

Потом, проверки на портал должны быть периодическими, потому что оператор может всунуть свою говнорекламу внезапно в работающий сеанс (что я в данный момент горожу, по заданию руководства).

[alibek]

24 минуты назад, ShyLion сказал:

потому что оператор может всунуть свою говнорекламу внезапно в работающий сеанс

Это даже в HTTP может работать очень криво.

А в HTTPS просто не будет работать.

Встраивать рекламу можно было хотя бы 5 лет назад, сейчас уже поздно.

[ShyLion]

Это да. Но им хоть кол на голове чеши - хотим впаривать рекламу, аж кушать не можем. На мои возражения что таким сервисом пользоваться будут один-два раза - пофиг.

[Ivan_83]

1 час назад, ShyLion сказал:

Это да. Но им хоть кол на голове чеши - хотим впаривать рекламу, аж кушать не можем. На мои возражения что таким сервисом пользоваться будут один-два раза - пофиг.

Так пошли их, пусть комунить ещё моск выносят.

[ShyLion]

4 minutes ago, Ivan_83 said:

Так пошли их, пусть комунить ещё моск выносят.

Эээ, а кто мне будет денюшку платить тогда? :) Без денюшков скучно жить.