BG Development


Страници: (2) [1] 2   ( Първото ново мнение ) Reply to this topicStart new topicStart Poll

> Спиране на HTTP Strict Transport Security за локал
izrafel
Публикувано на: 09-12-2017, 12:08
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 620
Регистриран на: 16.09.06



Здравейте, някой имал ли е проблем с "HTTP Strict Transport Security" в локален дев домайн? Ако да, как е успял да го спре? Пробвах няколко неща, включително да сетна хедър да го спре, но подозирам, че хром въобще не стига до този хедър. преди да редиректне съм хттпс.
Пробвах и със self-signed сертификат, но за това не може да се добави ексепшън
PMEmail Poster
Top
Lachezar
Публикувано на: 10-12-2017, 18:07
Quote Post



Име: Лъчезар Добрев
Група: Потребител
Ранг: Почетен член

Мнения: 2646
Регистриран на: 10.11.04



Да, имал съм проблеми, особено с домейни, на които има инсталирани повече от едно приложение (споделен домейн).
Единственото решение, което успях да реализирам е да конфигурирам Apache, който отговаря за домейна да изтрива заглавката. Става дума за сървър, който има Apache, с SSL и без SSL, който препраща към няколко приложения от back-end сървъри. Едното приложение настояваше да слага HSTS, а някои от приложенията изискваха да не се минава през SSL (ползваха се от стари устройства със счупен SSL).
В крайна сметка използвах mod_headers за да unset-на HSTS заглавката.

Това мнение е било редактирано от Lachezar на 10-12-2017, 18:08


--------------------
И'м ватцхинг ъоу...
PMUsers Website
Top
izrafel
Публикувано на: 10-12-2017, 18:23
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 620
Регистриран на: 16.09.06



QUOTE (Lachezar @ 10-12-2017, 18:07)
Да, имал съм проблеми, особено с домейни, на които има инсталирани повече от едно приложение (споделен домейн).
Единственото решение, което успях да реализирам е да конфигурирам Apache, който отговаря за домейна да изтрива заглавката. Става дума за сървър, който има Apache, с SSL и без SSL, който препраща към няколко приложения от back-end сървъри. Едното приложение настояваше да слага HSTS, а някои от приложенията изискваха да не се минава през SSL (ползваха се от стари устройства със счупен SSL).
В крайна сметка използвах mod_headers за да unset-на HSTS заглавката.

сетваш Strict-Transport-Security да е с max-age 0 или изцяло го изтриваш? защото това което имам аз е изцяло вътрешен домейн, хттп://приложение.app дето само аз си го цъкам.
Ако е така, този хедър работи ли след като е влезнало правилото за HSTS? защото уж го тествах това, ама според мен хром още преди да е видял хедърите, препраща към https версията.
В същото време се опитвам да изтрия правилото за дадения домейн през туловете на хром, но няма ефект. при проверка след това, пак си седи.

Това мнение е било редактирано от izrafel на 10-12-2017, 18:23
PMEmail Poster
Top
rvc
Публикувано на: 11-12-2017, 01:14
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2495
Регистриран на: 13.05.11



изчисти си кеша и си смени домейна който е локален да е нещо валидно защото домейн .app е ... ми нестандартен.
примерно http://приложение-апп.com
PMEmail PosterUsers Website
Top
Lachezar
Публикувано на: 11-12-2017, 14:55
Quote Post



Име: Лъчезар Добрев
Група: Потребител
Ранг: Почетен член

Мнения: 2646
Регистриран на: 10.11.04



QUOTE (izrafel @ 10-12-2017, 18:23)
сетваш Strict-Transport-Security да е с max-age 0 или изцяло го изтриваш? защото това което имам аз е изцяло вътрешен домейн, хттп://приложение.app дето само аз си го цъкам.
Ако е така, този хедър работи ли след като е влезнало правилото за HSTS? защото уж го тествах това, ама според мен хром още преди да е видял хедърите, препраща към https версията.
В същото време се опитвам да изтрия правилото за дадения домейн през туловете на хром, но няма ефект. при проверка след това, пак си седи.

Корекцията важи само за „новите“ потребители.
Тези (включително ти), които вече са посетили веднъж този сайт вече имат запис, че сайта е поискал HSTS, и изобщо не отварят връзка без SSL, което прави корекцията неефективна. В моя случай корекцията е да се премахне тази заглавка от отговора. Слагането на HSTS с max-age=0 не работи, защото вече е влязла в сила от предишното посещение. Единствено може да се коригира поведението за нови потребители.

Не знам как е в Хром, най-вероятно трябва да се изтрие кеша/историята на браузъра. Намерих една страница, която показва как да стане в Хром: https://www.thesslstore.com/blog/clear-hsts...chrome-firefox/ Аз обаче не ползвам Хром, и ще трябва сам да пробваш.

Какъв е домейна няма значение. real-site.com fake-site.net или development.absurd щом се резолват (примерно от /etc/hosts) няма значение за сайта.


--------------------
И'м ватцхинг ъоу...
PMUsers Website
Top
izrafel
Публикувано на: 11-12-2017, 15:31
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 620
Регистриран на: 16.09.06



QUOTE (Lachezar @ 11-12-2017, 14:55)
QUOTE (izrafel @ 10-12-2017, 18:23)
сетваш Strict-Transport-Security да е с max-age 0 или изцяло го изтриваш? защото това което имам аз е изцяло вътрешен домейн, хттп://приложение.app дето само аз си го цъкам.
Ако е така, този хедър работи ли след като е влезнало правилото за HSTS? защото уж го тествах това, ама според мен хром още преди да е видял хедърите, препраща към https версията.
В същото време се опитвам да изтрия правилото за дадения домейн през туловете на хром, но няма ефект. при проверка след това, пак си седи.

Корекцията важи само за „новите“ потребители.
Тези (включително ти), които вече са посетили веднъж този сайт вече имат запис, че сайта е поискал HSTS, и изобщо не отварят връзка без SSL, което прави корекцията неефективна. В моя случай корекцията е да се премахне тази заглавка от отговора. Слагането на HSTS с max-age=0 не работи, защото вече е влязла в сила от предишното посещение. Единствено може да се коригира поведението за нови потребители.

Не знам как е в Хром, най-вероятно трябва да се изтрие кеша/историята на браузъра. Намерих една страница, която показва как да стане в Хром: https://www.thesslstore.com/blog/clear-hsts...chrome-firefox/ Аз обаче не ползвам Хром, и ще трябва сам да пробваш.

Какъв е домейна няма значение. real-site.com fake-site.net или development.absurd щом се резолват (примерно от /etc/hosts) няма значение за сайта.

@rvc
Нестандартен, нестандартен.. колко да е нестандартен...
@Lachezar
да така и предположих, т.е осъзнах когато го тествах това с хедърите. ИНаче да знам я тази статия, по някаква причина този метод не работи специално за тези домейни.
Явно ще сменям домейна, но вече на всички ще се праща max-age 0

====================================
и все пак ми е сатрнно от къде изопщо хром го реши това да го добави в този лудница, при положение, че домайна найстина се резолва през /etc/hosts и кода е съвсем локален, а сървъра със сигурност не праща такива хедъри.
PMEmail Poster
Top
Lachezar
Публикувано на: 11-12-2017, 18:41
Quote Post



Име: Лъчезар Добрев
Група: Потребител
Ранг: Почетен член

Мнения: 2646
Регистриран на: 10.11.04



Сега видях, че домейна ти е .dev, за който съвсем скоро имаше тема в /.

https://tech.slashdot.org/story/17/09/18/19...-preloaded-hsts

https://chromium-review.googlesource.com/c/...um/src/+/669923


--------------------
И'м ватцхинг ъоу...
PMUsers Website
Top
izrafel
Публикувано на: 11-12-2017, 22:07
Quote Post



Име:
Група: Потребител
Ранг: Старо куче

Мнения: 620
Регистриран на: 16.09.06



QUOTE (Lachezar @ 11-12-2017, 18:41)
Сега видях, че домейна ти е .dev, за който съвсем скоро имаше тема в /.

https://tech.slashdot.org/story/17/09/18/19...-preloaded-hsts

https://chromium-review.googlesource.com/c/...um/src/+/669923

не е .dev, a .app, но се изпозлва за девелопмент. Няма някакво кой знае какво значение, просто преди години ми хареса и си го изпозлвах най - вече по навик, пък все още си седи яко icon_smile.gif
явно и за него се отнася това както за .dev и .foo
вече мигрирах почти висчко на .local и му пуснах хедъра с max-age:0 icon_smile.gif

Това мнение е било редактирано от izrafel на 11-12-2017, 22:11
PMEmail Poster
Top
ici
Публикувано на: 11-12-2017, 22:29
Quote Post


Group Icon
Име: Ивайло Илчев ики
Група: VIP
Ранг: Почетен член

Мнения: 14957
Регистриран на: 06.06.04



.local се използва от Bonjour/mdns/zeroconf icon_smile.gif


--------------------
Everything you can imagine is real. Pablo Picasso
PMEmail PosterUsers Website
Top
Lachezar
  Публикувано на: 11-12-2017, 23:45
Quote Post



Име: Лъчезар Добрев
Група: Потребител
Ранг: Почетен член

Мнения: 2646
Регистриран на: 10.11.04



QUOTE (izrafel @ 11-12-2017, 22:07)
не е .dev,  a .app, но се изпозлва за девелопмент. Няма някакво кой знае какво значение, просто преди години ми хареса и си го изпозлвах най - вече по навик, пък все още си седи яко icon_smile.gif
явно и за него се отнася това както за .dev и .foo
вече мигрирах почти висчко на .local и му пуснах хедъра с max-age:0 icon_smile.gif

.app, .dev все на Гугъл!

https://chromium.googlesource.com/chromium/...static.json#285

Интерфейса на това е малко бавен и няколко пъти кода на този ред е форматиран, затова не мога да открия точно кога е добавен HSTS за .app.


--------------------
И'м ватцхинг ъоу...
PMUsers Website
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Страници: (2) [1] 2  Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2015 | BG Development | All Rights Reserved
RSS 2.0