Le 13 nov. 2014 à 16:11, Laurent CARON lcaron@unix-scripts.info a écrit :
Bonjour,
Je constate depuis quelques semaines concernant seloger.com (et autres sites du groupe) et depuis ce matin concernant boursorama.com une impossibilité d'accès en passant pas un proxy envoyant X-Forwarded-For:
:squid.conf: forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for delete -> accès autorisé
Exemple: curl --header "X-Forwarded-For: 10.10.10.10" "http://www.boursorama.com"
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access / on this server.</p> </body></html>
Note intéressante: curl --header "X-Forwarded-For: 8.8.8.8" "http://www.boursorama.com" fonctionne
Il semblerait donc que boursorama n'accepte pas de requètes comportant un X forwarded for contenant une IP RFC1918.
Et vous, envoyez-vous un x-forwarded-for (à l'exterieur) ? Rejetez-vous les requètes dans lesquelles x forwarded for contient une IP RFC1918 ?
Je confirme la chose, donc j'ai plus twitter bourso : "ils sont au courant" :)
Pour info :
forwarded_for on -> valeur par défaut -> accès interdit à ces sites forwarded_for off -> (ma valeur par défaut) -> accès interdit à ces sites forwarded_for delete -> accès autorisé
J'ai donc mis l'option a delete. Ceci dit c'est pas "si mal" de mettre a delete même si pour les sites en questions ils ne savent plus qui est derrière le proxy.
Ca règle le problème c'est le principal (pour les gens qui sont derrière les proxy). La cerise sur le gateau c'est que pour des sites illicites ou troués via des pubs a la con, ça cache l'adressage ip derrière le proxy et donc baisse le risque potentiel de recherche de moyen de contourner les diverses couches de sécu.
Je pense aussi que ce pb chez ces sites est qu'ils doivent utiliser des reverses proxy et donc dépendre de cet header...
Xavier