Bonjour,<br><br>j&#39;ajouterai à cela de vérifier que :<br><br> - le RP ne mets pas en cache des pages contenant un set-cookie (vérifier les etag, cache-control, pragma, expire &amp; co le cas échéant supprimer ces entêtes).<br>

 - le critère de load balacing en amont effectivement l&#39;IP source parfois même le port source surtout avec des IP en sortie loadbalancée<br><br>Je suis également partisan d&#39;ajouter son propre header pour suivre par où est passé un session. J&#39;ai déjà vu des équipement insérer leurs IP au début, au milieu et à la fin du header X-forwarded-For.<br>

<br>Pour debuger tu peux également utiliser Charles Proxy (<a href="http://www.charlesproxy.com/">http://www.charlesproxy.com/</a>) que j&#39;ai découvert récement et qui est très abouti<br><br>Question quel est le reverse utilisé ?<br>

<br>HTH<br><br><br>
<br><br><div class="gmail_quote">Le 27 avril 2011 21:59, Jean Baptiste FAVRE <span dir="ltr">&lt;<a href="mailto:fr-sag@jbfavre.org">fr-sag@jbfavre.org</a>&gt;</span> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Bonsoir,<br>
<div class="im"><br>
On 27/04/2011 11:37, Valentin Surrel wrote:<br>
&gt; Bonjour la liste,<br>
&gt;<br>
&gt; Afin de pister un bug bien velu, on cherche à inspecter le flux réseau<br>
&gt; entre un client et nous. Problème, on a un frontal qui fait du SSL et<br>
&gt; rajoute un X-Real-IP header avant de reverse-proxy sur les serveurs<br>
&gt; d&#39;application.<br>
&gt;<br>
&gt; Un moyen de trouver les requêtes que fait le client est de faire ça :<br>
&gt;<br>
&gt; ngrep -d lo -q &#39;X-Real-IP: 1.2.3.4&#39; -W byline port 7541<br>
&gt;<br>
&gt; 1.2.3.4 étant l&#39;IP du client. Le problème est que je ne peux pas tracer<br>
&gt; la réponse HTTP renvoyé par le serveur. Il ne semble pas y avoir<br>
&gt; d&#39;option pour ceci dans ngrep.<br>
&gt;<br>
&gt; Auriez-vous des pistes à me suggérer (on peut très difficilement tout<br>
&gt; enregistrer avec tcpdump, l&#39;exploitation du fichier obtenu est quasi<br>
&gt; impossible du fait de sa taille) ?<br>
&gt;<br>
&gt; Est-il possible de faire le tcpdump en amont du frontal sur l&#39;IP 1.2.3.4<br>
&gt; et ensuite de décoder le HTTPS ? (avec wireshark ?)<br>
<br>
</div>Je suppose que le cookie (de session ?) est généré (et donc géré) par<br>
le(s) serveur(s) applicatif(s) et non par le reverse ?<br>
<br>
1. Est-il envisageable de faire sauter le SSL entre le reverse et le<br>
serveur applicatif ? Ce qui simplifierait l&#39;écoute réseau.<br>
<br>
2. Sinon, cas à la con où l&#39;applicatif se préoccupe de vérifier que le<br>
flux est bien en SSL, est-il envisageable de forcer l&#39;utilisation du<br>
chiffrement null entre le reverse et le serveur applicatif ? Le flux<br>
circulerait alors en clair bien qu&#39;en SSL (négo toussa) ce qui<br>
simplifierait l&#39;écoute réseau.<br>
<br>
3. Passer le(s) serveur(s) applicatif(s) en mode debug, éventuellement<br>
juste pour ces utilisateurs là.<br>
<br>
4. Ces clients sont-ils derrière un proxy ? Celui-ci ne ferait-il pas un<br>
peu de ménage dans les headers, voire ajouterait ces propres cookies (de<br>
mémoire, il ne peut y en avoir plus de 4 par requête. Du coup, la<br>
requête pourrait être débarrassée du cookie de session.<br>
<br>
5. Dérivé du précédent. Si les clients sont derrière un proxy, est-il<br>
possible que celui-ci, s&#39;il ajoute son(es) propre(s) cookie(s) utilise<br>
le même nom de cookie(s) ? Du coup, l&#39;ID de session serait remplacé.<br>
<br>
Mes 2 cents,<br>
<font color="#888888">JB<br>
</font><div><div></div><div class="h5">_______________________________________________<br>
Liste de diffusion du FRsAG<br>
<a href="http://www.frsag.org/" target="_blank">http://www.frsag.org/</a><br>
</div></div></blockquote></div><br>