4337 links
  • Arnaud's links
  • Home
  • Login
  • RSS Feed
  • ATOM Feed
  • Tag cloud
  • Picture wall
  • Daily
    Type 1 or more characters for results.
    Links per page: 20 50 100
    page 1 / 1
    17 results tagged https x
    • thumbnail
      Redirect HTTP Traffic to HTTPS Using ELB

      Un peu fatiguant de ne pas pouvoir configurer ce genre de chose sur l'ELB directement...

      Redirect http call to https

      RewriteEngine On
      RewriteCond %{HTTP:X-Forwarded-Proto} ^http$
      RewriteRule . https://%{HTTP:Host}%{REQUEST_URI} [L,R=permanent]

      September 18, 2017 at 2:36:53 PM GMT+2 * - permalink - archive.org - https://aws.amazon.com/premiumsupport/knowledge-center/redirect-http-https-elb/
      apache elb https rewrite
    • Note: HSTS, Cookie secure

      Un peu redondant, non ?

      Si un site fait bien son job en définissant les cookie en secure, ils ne partiront jamais en http

      Le HSTS c'est un peu fait pour ça non ? Eviter que des infos partent en http au lieu de https ? Après il n'y a pas que les cookie, mais bon, c'est là que se trouve le + important en général (session id)

      Surtout que le site en face renverra une redirect sur https

      October 24, 2016 at 2:31:24 PM GMT+2 - permalink - archive.org - https://links.infomee.fr/?wa-J1g
      cookie https secure
    • HPKP best practices if you choose to implement - Server - Let's Encrypt Community Support

      https://scotthelme.co.uk/hpkp-http-public-key-pinning/
      https://scotthelme.co.uk/hpkp-toolset/

      https://tools.ietf.org/html/rfc7469#page-7

      eli5 :

      Si le browser reçoit un header "Public-Key-Pins" avec une liste de hash, il va les stocker en local avec le domaine associé (pour un temps donnée par le max-age, la rfc conseille 2 mois)
      Firefox les stocke au même endroit que les HSTS : http://security.stackexchange.com/questions/92954/how-can-i-see-which-sites-have-set-the-hsts-flag-in-my-browser

      Quand un browser se connecte en https à un site, et qu'il a en local une entrée HPKP, il va y avoir une condition pour que la connexion s'établisse :

      • Un des hash de l'entrée HPKP doit correspondre au hash d'une clé publique d'un des certificats de la chaine de certification

      Les hashs dans le header qui ne correspondent à rien sont considérés comme des backup.

      Si aucun hash de l'entrée HPKP locale ne correspond à aucun hash de clé publique de la chaine : impossible de se connecter.

      à partir de là, on peut implémenter comme on veut HPKP, en étant plus ou moins strict.

      Par exemple, pour https://infomee.fr, grâce à https://report-uri.io/home/pkp_hash on peut voir les hash des clés publiques de ma chaine de certification :
      Leaf : Here is your PKP hash for infomee.fr: pin-sha256="oM+/1421Ew13AzUUxBTNbJjxofRe40CxO2Lt89BUeHk="
      Intermediate : Here is your PKP hash for Let's Encrypt Authority X3: pin-sha256="YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg="
      Root : Here is your PKP hash for DST Root CA X3: pin-sha256="Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys="

      Si je décide de renvoyer dans le header Public-Key-Pins seulement le hash du root :

      • un certificat délivré par une autre CA root ne pourra être utilisé pour faire du mitm : mes visiteurs auront un block

      Ce qui est déjà bien, mais si cette autorité est corrompue, un certificat frauduleux pourra toujours être utilisé.. C'est là qu'on peut aller plus loin et utiliser l'intermediate seulement ou encore plus loin le leaf seulement

      Test :

      • on pin le leaf et le root
      • change le certif pour avoir un leaf différent
      • on reload : ça passe car il reste toujours un valid pin

      Pour être top secure mais touchy à config/gérer : pin seulement le leaf (et bien sur un backup)

      October 20, 2016 at 3:42:23 PM GMT+2 - permalink - archive.org - https://community.letsencrypt.org/t/hpkp-best-practices-if-you-choose-to-implement/4625
      hpkp https
    • How can I see which sites have set the HSTS flag in my browser? - Information Security Stack Exchange

      Un peu une saloperie ce HSTS tout de même

      Chrome:

      Open Chrome
      Type chrome://net-internals/#hsts in the address bar of chrome
      Query domain: if it appears as a result, it is HSTS enabled

      Firefox:

      Open file explorer
      Copy paste %APPDATA%\Mozilla\Firefox\Profiles\ in the address bar of file explorer (for Linux it is ~/.mozilla/firefox)
      Double click the folder you see (if you have multiple FF profiles, there will be multiple folders)
      Open SiteSecurityServiceState.txt. This textfile contains sites that have enabled HSTS.
      October 20, 2016 at 12:21:27 PM GMT+2 - permalink - archive.org - http://security.stackexchange.com/questions/92954/how-can-i-see-which-sites-have-set-the-hsts-flag-in-my-browser
      browser hsts https security ssl
    • Note: mitm call app https

      ngrep pas glop quand https, du coup :

      sudo apt install mitmproxy

      mitmdump -v -d

      Dans l'application, configurer la lib (curl ou autre..) pour utiliser un proxy http/https sur 127.0.0.1:8080 (mitmdump écoute sur ce port)
      ou bien plus violent :
      sysctl -w net.ipv4.ip_forward=1
      iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
      iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8080

      Dans tous les cas, la lib va raler car certif pas ok : utiliser insecure si possible dans l'app ou bien generer certif et le trust au niveau de l'os

      à partir de là on peut voir les call/response avec mitmdump

      October 12, 2016 at 11:00:23 AM GMT+2 - permalink - archive.org - https://links.infomee.fr/?NTFdDw
      https mitm ngrep
    • Note: curl, header host, https, SNI

      Si on veut curl une ressource sur l'ip (car pas de résolution, pas envie de modifier /etc/hosts..)
      On va utiliser -H pour rajouter un header host et arriver sur le bon virtualhost :

      curl -H 'Host: www.foo.com' http://192.168.1.1/

      Si la ressource est en https, ça ne passe pas :

      curl -H 'Host: www.foo.com' https://192.168.1.1/

      curl: (51) SSL: certificate subject name (*.foo.com) does not match target host name '192.168.1.1'

      Car le SNI hello se fait avec l'host dans l'url (192.168.1.1) et non pas avec le Header Host

      Un workaround est d'utiliser l'option --resolve

      curl --resolve www.foo.com:192.168.1.1 https://www.foo.com

      On peut aussi utiliser --insecure pour ignore l'erreur mais on ne valide pas que le certificat est ok :

      curl --insecure -H 'Host: www.foo.com' http://192.168.1.1/

      August 10, 2016 at 2:57:59 PM GMT+2 - permalink - archive.org - https://links.infomee.fr/?Lqccgg
      curl https sni
    • SSL/TLS and PKI Timeline

      via skunnyk

      June 1, 2016 at 1:45:46 PM GMT+2 - permalink - archive.org - https://www.feistyduck.com/ssl-tls-and-pki-timeline/
      https pki ssl timeline tls
    • Troy Hunt: Your login form posts to HTTPS, but you blew it when you loaded it over HTTP

      Ce n'est pas secure de load en http en le formulaire et de le submit en https.

      October 21, 2015 at 11:48:03 AM GMT+2 - permalink - archive.org - http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html
      https
    • Apache force https

      Petit pense bête :

      <VirtualHost :80>
      RewriteEngine on
      RewriteCond %{HTTPS} off
      RewriteRule (.
      ) https://%{HTTP_HOST}%{REQUEST_URI}
      </VirtualHost>

      ou

      <VirtualHost *:80>
      ServerName mon.domaine.fr
      Redirect / https://mon.domainefr/
      </VirtualHost>

      July 1, 2014 at 12:12:40 PM GMT+2 - permalink - archive.org - https://links.infomee.fr/?UgoQhQ
      apache http https
    • thumbnail
      Why we don't use a CDN: A story about SPDY and SSL

      Bon article sur quelques subtilités ssl

      via Skunnyk

      February 21, 2014 at 9:52:11 AM GMT+1 - permalink - archive.org - https://thethemefoundry.com/blog/why-we-dont-use-a-cdn-spdy-ssl/
      bench http https nginx ssl
    • Analyse du load de page

      http://www.webpagetest.org/

      Sympa la découpe : DNS Lookup / Initial Connection (RTT) / SSL nego / TTFB

      February 21, 2014 at 9:50:49 AM GMT+1 - permalink - archive.org - http://infomee.fr/vrac/waterfall.png
      analyse graph http https tools
    • Testez la configuration SSL de votre nom de domaine | Korben
      April 1, 2013 at 11:54:21 AM GMT+2 - permalink - archive.org - http://korben.info/testez-la-configuration-ssl-de-votre-nom-de-domaine.html
      https ssl
    • Blog Stéphane Bortzmeyer: Utiliser l'Autorité de Certification CAcert
      November 15, 2012 at 5:51:40 PM GMT+1 - permalink - archive.org - http://www.bortzmeyer.org/cacert.html
      http https ssl
    • Configurer apache2 pour faire du https - PatDef.fr
      October 11, 2012 at 8:20:38 PM GMT+2 - permalink - archive.org - http://www.patdef.fr/Configurer-apache2-pour-faire-du.html
      https ssl
    • Des extensions Firefox pour contrôler les certificats HTTPS - sebsauvage.net - Les trucs qui m'énervent -
      October 7, 2012 at 2:01:08 PM GMT+2 - permalink - archive.org - http://sebsauvage.net/rhaa/index.php?2010/08/18/11/16/54-des-extensions-firefox-pour-controler-les-certificats-https
      https ssl
    • Les certificats SSL ne suffisent plus - sebsauvage.net - Les trucs qui m'énervent -
      October 7, 2012 at 2:00:45 PM GMT+2 - permalink - archive.org - http://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus
      https ssl
    • Je suis content d'utiliser CertPatrol - sebsauvage.net - Les trucs qui m'énervent -
      October 7, 2012 at 2:00:34 PM GMT+2 - permalink - archive.org - http://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41-je-suis-content-d-utiliser-certpatrol
      https ssl
    Links per page: 20 50 100
    page 1 / 1
    Shaarli - The personal, minimalist, super-fast, database free, bookmarking service by the Shaarli community - Help/documentation