FS#19616 : Impossible de se connecter à l'interface sur le port http après être passé en https

État Fermée
Pourcentage achevé
100%
Type Anomalie
Catégorie Console de gestion
Assignée à

rfliedel
Système d'exploitation Tous
Sévérité Basse
Priorité Très Basse
Basée sur la version 3.2.0
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par hwti - 04/02/2016
Dernière modification par rfliedel - 05/04/2016

FS#19616 - Impossible de se connecter à l'interface sur le port http après être passé en https

Depuis le LAN :

charger http://login.freeboxos.fr:PORTHTTP
cliquer sur le lien “Accès sécurisé à Freebox OS”
charger à nouveau http://login.freeboxos.fr:PORTHTTP

Ou, depuis l’extérieur :

charger http://login.freeboxos.fr:PORTHTTP, qui redirige vers https://login.freeboxos.fr:PORTHTTPS
charger à nouveau http://login.freeboxos.fr:PORTHTTP

Dans les deux cas, à cause des headers HSTS servis sur les css/js de la page de login en https, le browser transforme le deuxième chargement de http://login.freeboxos.fr:PORTHTTP en https://login.freeboxos.fr:PORTHTTP, qui ne fonctionne pas.

Le comportement des browsers est normal (cf http://securityretentive.blogspot.fr/2010/11/quick-clarification-on-hsts-http-strict.html), il faut donc au choix :

n’activer le HSTS que si les ports utilisés sont 80 et 443
permettre de faire du https sur le port http (et peut-être ne garder qu’un seul port au final) : avec nginx normalement c’est possible en activant le ssl sur le port, avec error_page 497 pour pouvoir quand même traiter le http

Fermée par rfliedel
05.04.2016 09:32
Raison de la fermeture : Résolu
Commentaires de fermeture :

En 3.3.1

Commentaires (2)
Tâches liées (0/0)

rfliedel a commenté le 04.02.2016 12:54

n’activer le HSTS que si les ports utilisés sont 80 et 443

je pense qu'on va désactiver le HSTS car ça posera aussi problème si l'utilisateur décide de changer de port

permettre de faire du https sur le port http (et peut-être ne garder qu’un seul port au final)

vu que l'idée est de fermer le port http a terme je n'ai pas trop envie d'activer ce workaround, surtout que le problème serait plutot d'accepter de faire du https sur le port http et pas l'inverse

hwti a commenté le 04.02.2016 15:29

Pour accepter du https sur le port http, il faut le déclarer comme un port https et autoriser le http dessus.

Sinon, en local (ou pour les fibrés), le http a toujours un intérêt : il permet de télécharger depuis le disque dur à un peu plus de 40Mo/s, alors que la Freebox semble plafonner à 6Mo/s en https (certes il reste FTP/SMB).

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche