- État Close
- Type de tâche Anomalie
- Catégorie Console de gestion
-
Assignée à
Romain FLIEDEL (rfliedel)
- Système d'exploitation Tous
- Sévérité Basse
- Priorité Normale
- Basée sur la version 3.2.0
- Due pour la version Non décidé
- Date d'échéance Non décidé
- Votes 0
- Privée Non
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Loïc Yhuel (hwti) - 04/02/2016
Dernière édition par Romain FLIEDEL (rfliedel) - 05/04/2016
Ouverte par Loïc Yhuel (hwti) - 04/02/2016
Dernière édition par Romain FLIEDEL (rfliedel) - 05/04/2016
FS#19616 - Impossible de se connecter à l'interface sur le port http après être passé en https
Depuis le LAN :
- cliquer sur le lien “Accès sécurisé à Freebox OS”
- charger à nouveau http://login.freeboxos.fr:PORTHTTP
Ou, depuis l’extérieur :
- charger http://login.freeboxos.fr:PORTHTTP, qui redirige vers https://login.freeboxos.fr:PORTHTTPS
- charger à nouveau http://login.freeboxos.fr:PORTHTTP
Dans les deux cas, à cause des headers HSTS servis sur les css/js de la page de login en https, le browser transforme le deuxième chargement de http://login.freeboxos.fr:PORTHTTP en https://login.freeboxos.fr:PORTHTTP, qui ne fonctionne pas.
Le comportement des browsers est normal (cf http://securityretentive.blogspot.fr/2010/11/quick-clarification-on-hsts-http-strict.html), il faut donc au choix :
- n’activer le HSTS que si les ports utilisés sont 80 et 443
- permettre de faire du https sur le port http (et peut-être ne garder qu’un seul port au final) : avec nginx normalement c’est possible en activant le ssl sur le port, avec error_page 497 pour pouvoir quand même traiter le http
Close par Romain FLIEDEL (rfliedel)
mardi 5 avril, 2016 09:32:04
Raison de clôture : Résolu
Commentaires supplémentaires de clôture : En 3.3.1
mardi 5 avril, 2016 09:32:04
Raison de clôture : Résolu
Commentaires supplémentaires de clôture : En 3.3.1
jeudi 4 février, 2016 12:54:23
je pense qu'on va désactiver le HSTS car ça posera aussi problème si l'utilisateur décide de changer de port
vu que l'idée est de fermer le port http a terme je n'ai pas trop envie d'activer ce workaround, surtout que le problème serait plutot d'accepter de faire du https sur le port http et pas l'inverse
jeudi 4 février, 2016 15:29:33
Pour accepter du https sur le port http, il faut le déclarer comme un port https et autoriser le http dessus.
Sinon, en local (ou pour les fibrés), le http a toujours un intérêt : il permet de télécharger depuis le disque dur à un peu plus de 40Mo/s, alors que la Freebox semble plafonner à 6Mo/s en https (certes il reste FTP/SMB).