Presmerovani neplaticu https

kdavid

Ahoj,

jak jste vyresili presmerovani neplaticu na infopage v pripade https?
Napriklad pokud ma klient homepage https://.... a chcete to forwardnout na svuj infopage z duvodu pozastaveni co vali i na https tak to vrati cert error.

Existuje vubec na to nejake reseni?
Pripadne nejakej cname na wildcart na natvrdo naforwardovanem dns?

dik
dave

arrabbella

kdavid
Neplatiče odpojujeme (když nereagují na upomínku). Však oni už ví proč :-) Proč to dělat jinak? :-)

krystofklima

jedná se o typický útok MIM /man in the middle/

a právě proto, aby se odstranili, tak se vymysleli certifikáty. Stejně tak u kvalifikovaných podpisů, aby za mě někdo nemohl poslat zprávu z mého mailu a na druhé straně to vypadalo, jako bych to posílal já. Proto každý email opatřuji kvalifikovaným podpisem.

Stejně tak WWW opatřujeme "podpisem" certifikátem, kde uživateli potvrzujeme, že jsme skutečně ti oprávnění, kdo má právo ověřit doménu /na rozdíl od mailu, kde je to OV - owner validation, zde je to DV domain validation/

tedy zákazník, který se chtěl dostat na kb.cz resp. třeba seznam.cz opravdu nechtěl jít na podvrženou doménu, kterou jsme mu nabídli. naštěstí jeho vlastní systém včas rozpoznal chybu a to, že nesouhlasí vydaný certifikát s žádanou doménou a jejím obsahem.

Až toto dokážete vyřešit, všechny certifikační autority budou moci zahodit certifikáty, vrátit miliony dolarů, investovaných do procesů zabezpečení a všichni se vrátíme do bodu nula /v ČR odhadem rok 2010 - kdy 90% webů nebyla HTTPS neměla certifikát/

a pak každý rusák nás odsměruje na krásné dezinformované stránky seznam.cz, místo těch, které jsme si chtěli číst.

Vím, že to pro Vás nevyznívá dobře, ale naštěstí pro důležitější důvody, to technicky překonatelné není a to je zaplaťpánbůh dobře !!!

kdavid

krystofklima ja to chapu.... ale pri reseni hotspotu se to jde resit... prvni web je captive portal... tak jsem dostal nadeji ze to jde nejak udelat...

pedro4444

arrabbella presne tak netreba sa s nimi srat t-com robi to iste preco by sme mali byt mi iny?
kedysi som uvazoval ako ty ako tych ludi donutit vyvolavas ako vul prosim zaplatte a neviem co mozne strasne zabity cas zaviedli sme tvrdu politiku:
prvy mesiac nezaplatene pride email vsetko mozne dalsi mesiac dovi dopo internet...
neplatici si zvykli asi do 5 protestovalo a tych aj odislo ale za ten klud to stalo a uz ziadne prosenie nemas zaplatene nejde az ked pride platba pojde...

kdavid

pedro4444 tohle neresim.... mame web s formularem kde si umi nahrat potvrzeni o uhrade bez toho aby volali... to chceme resit...

pedro4444

kdavid to je uplne inak riesenie ten hotspot.... ako ze to len presmeruje....

ale ak to chces co najlahsie vyriesit tak to vyries cez ten hotspot co vie mk 🙂

alebo im to pridat vzdy do upozornovacieho emailu ze vasa stranka ide a tam si to vedia odblokovat aj tak sa to da riesit 🙂
ludia ked im nieco nejde uz aj sms a email citaju ze preco 😃

krystofklima

kdavid právě proto se u domén používá HSTS, které to nedovolí...a dnes si myslím, že HSTS má většina domén, nikdo nechce být podvržen...kromě google, který sází na celosvětový "anycast" jakýsi pseudocluster, kdy mě obslouží nejbližší server.... /anycast přirovnání jsem použil, jelikož tak je to užitečné v IPv6 samozřejmě ve světě IPv4 jen přirovnání/
takže kdo nebude mít přes tu noc navázaný jen google, a nebo další non-HSTS server, tak se možná ráno přesměruje

ale už vidím, jak v době energetické krize všichni nechávají běžet PC na stole přes noc ;-) i když možné to samozřejmě je

jedna poslední vsuvka, kdyby to bylo řešitelné a šlo to takto řešit, tak už by to dávno používala velká trojka, nebo třeba UPC či DSLka....nemyslíte a že těch neplatičů budou mít jistě o trochu desetitisíců víc ;-)

krystofklima

kdavid jinak tomu hotspot captive portalu, který je první, je to trochu jinak

Systém po připojení k síti, pokud není zapnutý žádný prohlížeč, resp. navázané žádné spojení, tak provede "conectivity check" windows na své MSN, Android na GOOGLE a když nedostanou odpověď, tak zkusí v tomto jediném případě a jen jednou port80, kde chtějí svoji službu, windows třeba MSN zprávy, sami jistě víte, že to naskočí po hotspotu často jako první strana
a to se dá přesměrovat,. to je samozřejmě port80
ale něco musí systém uvědomit, že jsou vyžadovány přihlašovací informace /u hotspotů všech výrobců to samo nahlásí, že je třeba přihlásti se, ale jak je toto zprocesované netuším/

pixall

ide to udelat tak, ze na seba presmerujete prevadzku ktora ide na port 80 (http), potom odpoviete Location: s adresou svojho webservera na obsluhu neplaticov (pokojne aj https).
presmerovat prevadzku ktora ide na port 443 (https) bez warningu nelze.

cmgn

Zbytečné řešit HTTPS. Teď jsme zařezávali mrtvé duše na síti. Zařízl jsem vše krom http na info stránku. Zařízl jsem to v noci a ráno se všem zobrazilo, jakmile prohlížeče zjistily, že nevidí ven a že tam je nějaký redirect. Chrome OK, Edge OK, Firefox také.

Takže žádný hotspot nebyl třeba. Spojení byly vypršené, tzn. browsery navazovaly a když nenavázaly, nechaly se přesměrovat v pohodě skrze port 80.

kdavid

cmgn Takže forwardujes jen src 80 na dst 80 a povolujes jen dns? Vse kromne toho zarezes? A browser pokud zjisti ze 443 neni dostupna tak otvori webku namisto https jako http? To se mi nezda 😃

bakelit

cmgn Do toho pak ale nastupuje HSTS, a v tom případě se http nepoužije, pokud jsi na té stránce již byl (a nebo je doména v preload listu).

cmgn

bakelit Zkus to ;-)

kdavid Přesně tak jsem to udělal a fungovalo to parádně. Resp., neotevře to webku jako http, ale zkouší, zda nedostává redirect na HTTP a třeba edge spadne do módu hotspotu sám.

kdavid

cmgn takze pro shrnuti.... dst nat 80 na 80tku infopage, povolit jedine DNS a vse krom toho drop?

krystofklima

cmgn tohle je tak deset let zpět, možná v závislosti na prohlížených webech jen 5let ;-)) dnes při drtivé většině HSTS to neprojde zaručeně....i když samozřejmě někde to zabrat může

miract

Už jsem zažil i nějaký "tunel" na UDP/53 portu, tak bych doporučil asi přesměrovat veškeré odchozí DNS na vlastní server...

cmgn

krystofklima moje minulotýdenni zkušenost hovoří jinak.

Splnilo to přesně to, co jsem potřeboval :-)

Proste zaříznu vše krom DNS na svůj server a HTTP na infostránku a ráno si to vesele přesměruje. Ano. Možná ne všechny, ale ve výsledku jim to nepůjde taky, takže taky zavolaji. Jednoduché, účinné, efektivní. Netřeba vymýšlet složitosti

krystofklima

cmgn tohle nezařízen vše, to skutečně funguje spíš na tom, že jim to nejde, tak zavolají ;-)))

rsaf

cmgn My na tom captive portálu máme možnost reaktivace připojení na 2 dny. Takže jim to nejde, je velká šance že je stránka navede k informaci o dluhu, internet mají zprovozněný během pár minut a ušetří se zbytečné hovory.
Odpojení pouštíme po+st někdy dopoledne tak, aby měli šanci zareagovat (tzn. neodpojujeme lidi v noci z pátku na sobotu jen proto, že zrovna v tu chvíli mají fakturu 7 dní po splatnosti).

rsaf

Dnes již tohle přesměrování funguje zase docela obstojně. Android připojený na wifi captive portál detekuje a vyhodí hlášku "jsou potřeba další údaje", stejně tak Windows 10 připojené na wifi detekují captive portál a vyhodí notifikaci, pomocí které se lze dokliknout až na captive portál. Problémem zůstávají Windows 10 na ethernetu, kde tahle detekce neprobíhá.
Používáme to ve vlastním řešení, Aby detekce zafungovaly co nejlépe je potřeba HTTPS blokovat (ne redirectovat), a na veškeré HTTP požadavky vracet redirect (302) na stránku captive portálu. V této stránce máme potom v HTML kódu "meta refresh" na samotný captive portál - redirect 302 totiž redirectne i různé oťukávače, požadavky na JSON data apod. a u těch fakt nechceme, aby dolezly až na stránku která kouká do SQL databáze na info o zákazníkovi, ale ten "druhý" redirect pochopí jen webbrowser schopný zpracovat HTML.

krystofklima

rsaf JJ, tak tohle je jiná, to není blokace, ani obejití certifikátu. Teď už jen schopného webaře, který to tam zakomponuje ;-)

Další stránka »