Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Anomalie
  • Catégorie Console de gestion
  • Assignée à Romain FLIEDEL (rfliedel)
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Normale
  • Basée sur la version 3.2.0
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Loïc Yhuel (hwti) - 04/02/2016
Dernière édition par Romain FLIEDEL (rfliedel) - 05/04/2016

FS#19616 - Impossible de se connecter à l'interface sur le port http après être passé en https

Depuis le LAN :

Ou, depuis l’extérieur :

Dans les deux cas, à cause des headers HSTS servis sur les css/js de la page de login en https, le browser transforme le deuxième chargement de http://login.freeboxos.fr:PORTHTTP en https://login.freeboxos.fr:PORTHTTP, qui ne fonctionne pas.

Le comportement des browsers est normal (cf http://securityretentive.blogspot.fr/2010/11/quick-clarification-on-hsts-http-strict.html), il faut donc au choix :

  • n’activer le HSTS que si les ports utilisés sont 80 et 443
  • permettre de faire du https sur le port http (et peut-être ne garder qu’un seul port au final) : avec nginx normalement c’est possible en activant le ssl sur le port, avec error_page 497 pour pouvoir quand même traiter le http
Close par  Romain FLIEDEL (rfliedel)
Tuesday 5 April, 2016 09:32:04
Raison de clôture :  Résolu
Commentaires supplémentaires de clôture :  En 3.3.1

Cette tache ne dépend pas d'autre tache

Romain FLIEDEL (rfliedel)
Thursday 4 February, 2016 12:54:23
n’activer le HSTS que si les ports utilisés sont 80 et 443

je pense qu'on va désactiver le HSTS car ça posera aussi problème si l'utilisateur décide de changer de port

permettre de faire du https sur le port http (et peut-être ne garder qu’un seul port au final)

vu que l'idée est de fermer le port http a terme je n'ai pas trop envie d'activer ce workaround, surtout que le problème serait plutot d'accepter de faire du https sur le port http et pas l'inverse

Loïc Yhuel (hwti)
Thursday 4 February, 2016 15:29:33

Pour accepter du https sur le port http, il faut le déclarer comme un port https et autoriser le http dessus.

Sinon, en local (ou pour les fibrés), le http a toujours un intérêt : il permet de télécharger depuis le disque dur à un peu plus de 40Mo/s, alors que la Freebox semble plafonner à 6Mo/s en https (certes il reste FTP/SMB).

Chargement...