Re: Qu'est-ce que les Chinois du FBI viennent foutre sur ma Debian?
’jour,
Le jeudi 24 avril 2014, 00:36:40 Pascal Hambourg a écrit :
>[…]
> > Je ne pense pas que ça jette des paquets légitimes
>
> C'est pourtant risqué. Il suffirait que la chaîne se trouve
> dans une page HTML quelconque et soit par malchance transmise
> au début d'un segment TCP pour déclencher un faux positif.
Ce qui serait à mon avis plus risqué, ce serait les clients
qui enverraient ces requêtes « absolute RequestURI »
légitimement : elles sont REQUISES pour causer avec un proxy
mais n’importe quel client peut vouloir les utiliser (ça ne me
semble pas être interdit par la RFC 2616 et j’appliquerais le
principe de « rigueur sur les sorties, indulgence sur les
entrées »).
De plus, il y a ce petit paragraphe dans la RFC :
« To allow for transition to absoluteURIs in all requests in
future versions of HTTP, all HTTP/1.1 servers MUST accept the
absoluteURI form in requests, even though HTTP/1.1 clients
will only generate them in requests to proxies. »
Donc couper la connexion sur une requête que le serveur DOIT
accepter ne me semble pas très sympa (bon, vous me direz, être
sympa avec quelqu’un qui veut profiter de votre proxy…).
Au passage, on peut noter qu’il était envisagé que les URI
absolues soient à l’avenir (celui de HTTP 1.1, en 1999) la forme
unique ou du moins privilégiée.
D’un autre côté, tout ça (utilisation privilégiée des URI
absolues ou filtrage iptables sur le GET) tombera à l’eau,
puisque SPDY, qui sert de base au brouillon pour HTTP 2.0,
utilise un tout autre format (méthode, schéma, hôte et chemin
ont chacun leur en-tête) et donc plus de chaîne « GET bla » en
début de paquet (sauf sur un découpage malchanceux). Mais bon,
HTTP 2.0, on a encore le temps, hein…
--
Sylvain Sauvage
Reply to: