Florian Siegenthaler

Dégooglisons Internet !

Forcer son site web en HTTPS et rediriger avec le www

Rédigé par Florian Siegenthaler - - aucun commentaire

Bonjour,

Un petit script pour Apache (serveur web) à mettre dans un fichier nommé .htaccess (attention au point, très important, qui représente un fichier caché sous Linux et POSIX).

Il suffit de copiez-coller le code ci-dessous pour que premièrement le site soit forcé en HTTPS puis si le visiteur a demandé l'URL votredomaine.tld au lieu de www.votredomaine.tld il le redirige sur le sous-domaine www :

RewriteCond %{HTTPS} off
# First rewrite to HTTPS:
# Don't put www. here. If it is already there it will be included, if not
# the subsequent rule will catch it.
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Now, rewrite any request to the wrong domain to use www.
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ainsi si le visiteur tape :

  • http://votredomaine.tld > il est redirigé sur https://votredomaine.tld puis https://www.votredomaine.tld
  • http://www.votredomaine.tld > il est redirigé directement sur https://www.votredomaine.tld
  • https://votredomaine.tld > il est redirigé sur https://www.votredomaine.tld
  • https://www.votredomaine.tld > le script ne fait rien, le visiteur est déjà sur la bonne adresse

Ce script est une redirection permanente 301, c'est à dire qu'il met à jour les signets des navigateurs menant à votre site en même temps que le visiteur consulte votre site web, ce qui n'est pas le cas si c'est une redirection temporaire (maintenance).

PS: pensez à tester le bon fonctionnement de votre script, avec ou sans www en HTTP et en HTTPS ;-)

Le canton de Vaud en faveur de la neutralité du net

Rédigé par Florian Siegenthaler - - aucun commentaire

On avance sur la neutralité des réseaux, suite à une consultation de différents milieux sur la révision de la LTC (que j'ai malheureusement manqué), le canton de Vaud se positionne clairement en accord avec le principe de neutralité des réseaux avec la réponse formulée à Doris Leuthard, conseillère fédérale dans ce document (toutes les réponses ici).

- Neutralité des réseaux : le projet propose une avancée sous la forme d’une obligation faite aux FST de présenter très clairement les éventuelles restrictions de débit pour certains types d’informations ou de services. Alors que tant l’Union européenne que les Etats-unis ont récemment ancré le principe de la neutralité de l’accès à Internet et d’une obligation pour les opérateurs de fournir un accès à toutes les informations selon la logique du meilleur effort (« best effort »), la Suisse devrait suivre la même direction.

Canton de Vaud, rapport du Conseil d'État à propos de la consultation relative à la modification de modification de la loi sur les télécommunications (LTC)

Si on analyse ce texte, il s'agirait non pas d'obliger les FAI d'expliciter les saletés qu'ils font sur leur réseau (enrichissement des en-têtes HTTP, usurpation d'identité, modification de contenu à la volée, censure par DNS) mais carrément d'interdire ces pratiques qui ne servent surtout pas l'utilisateur final.

Pour une fois je suis content de ce qui ressort du canton de Vaud, contrairement à la consultation de la Confédération qui demande un document « Word » démontrant bien que les standards ouverts ce n'est pas encore au goût du jour, on pourrait inscrire dans la LTC l'obligation d'utiliser des formats ouverts et standardisés au moment d'échange électronique d'informations, bon au moins les consultations sont disponibles en PDF, c'est déjà ça.

Sécurité: c'est pas moi qui le dit

Rédigé par Florian Siegenthaler - - aucun commentaire

Je vous propose la lecture du billet d'Aeris sur son blog concernant les VNC accessibles à distance sur IP publique, dont des systèmes de ventilation, de pompes, de chauffage, système de surveillance, de domotique, etc, il y a de quoi s'amuser sur l'Internet IPv4 tellement la sécurité n'est pas prise en compte.
Encore heureux à priori il n'y a pas de centrale nucléaire.

https://blog.imirhil.fr/2016/03/02/vncfail.html

Le vectoring, sauveur des connexions VDSL2 ?

Rédigé par Florian Siegenthaler - - aucun commentaire

On en apprend tous les jours, une nouvelle technologie existe afin de se rapprocher du débit théorique sur les lignes VDSL2, il s'agit du vectoring.

Je ne vais pas l'expliquer ici, le lien ci-dessous suffira mais en gros il s'agit de calculer le bruit provoqué par les autres lignes dans le même câble jusqu'au prochain central de quartier pour avoir un meilleur débit, mais pour cela il faut que toutes les lignes du même câble (nommé faisceau dans l'article) soient « vector-compliant », et pour l'être il faut un matériel spécial, du moins il faut un firmware spécial selon une norme de l'UIT, autrement la ligne se voit rétrogradée en fallback, c'est à dire à une vitesse de 7000/512 Kbps, à peu près le débit que j'ai actuellement à mon domicile.

Le concept a l'air intéressant, reste à voir si applicable en Suisse puisque contrairement à la Belgique, il y a une meilleure diversité d'opérateurs (mais pas plus de neutralité), à mon avis la fibre optique l'emportera, ce qui permet aussi de mettre son propre routeur derrière.

Voir l'article : http://www.edpnet.be/fr/support/installer-et-utiliser/internet/vectoring.html

Espionner une personne avec httpry

Rédigé par Florian Siegenthaler - - aucun commentaire

Disclaimer: cet article est écrit uniquement pour démontrer les problèmes de sécurité actuels des sites web qui n'ont pas le protocole HTTPS activé et qui de fait mettent en danger la vie de certaines personnes par méconnaissance ou insouciance, en aucun cas je ne fais la promotion de ce type d'attaque.

*Vous voulez savoir quels sites une personne visite ? C'est très simple il suffit d'utiliser le logiciel httpry qui vous permettra de voir l'adresse des sites web visités, vous avez plusieurs possibilités pour que ce soit plus facile :

  1. Espionner tranquillement en Wifi
  2. Espionner à partir d'un simple câble réseau coincé derrière le canapé et d'un Raspberry (c'est discret et petit)
  3. Installez directement httpry sur le routeur, c'est tellement plus simple...

Ensuite ça donne ça :

root@TravelMate-5742Z:/home/fsie# httpry
httpry version 0.1.7 -- HTTP logging and information retrieval tool
Copyright (c) 2005-2012 Jason Bittel
----------------------------
Hash buckets: 64
Nodes inserted: 10
Buckets in use: 9
Hash collisions: 1
Longest hash chain: 2
----------------------------
Starting capture on eth0 interface
2016-04-25 23:00:12 192.168.1.114 145.232.250.197 > GET www.vd.ch /themes/vie-privee/ HTTP/1.1 - -
2016-04-25 23:00:12 145.232.250.197 192.168.1.114 < - - - HTTP/1.1 200 OK
2016-04-25 23:00:13 192.168.1.114 145.232.250.197 > GET www.vd.ch /typo3temp/GB/4121ad9206.png HTTP/1.1 - -
2016-04-25 23:00:13 192.168.1.114 145.232.250.197 > GET www.vd.ch /uploads/RTEmagicC_famille_13.jpg.jpg HTTP/1.1 - -
2016-04-25 23:00:13 145.232.250.197 192.168.1.114 < - - - HTTP/1.1 200 OK
2016-04-25 23:00:13 145.232.250.197 192.168.1.114 < - - - HTTP/1.1 200 OK
2016-04-25 23:00:15 192.168.1.114 145.232.250.197 > GET www.vd.ch /?eID=vd_popular&vdpopularpageid=7523 HTTP/1.1 - -
2016-04-25 23:00:15 145.232.250.197 192.168.1.114 < - - - HTTP/1.1 200 OK
2016-04-25 23:00:37 192.168.1.114 145.232.250.197 > GET www.vd.ch /themes/vie-privee/violence-domestique/ HTTP/1.1 - -
2016-04-25 23:00:37 145.232.250.197 192.168.1.114 < - - - HTTP/1.1 200 OK

Nous pouvons donc voir que cette personne visite le site du canton de Vaud à la page des violences conjugales très facilement, ce qui serait fortement dommageable si c'était le mari qui voyait ces traces de navigation.

Le site du canton de Vaud pour reprendre mon exemple met ainsi en danger des femmes (et hommes, ça doit exister) victimes de violence conjugale pour ne pas sécuriser son site web comme il le devrait, et ce n'est qu'un site parmi tant d'autres.

* Évidemment je ne souhaite surtout pas que cela arrive et je participe à augmenter le niveau de sécurité sur Internet, c'est pour l'exemple, pour démontrer que le protocole HTTPS qui sécurise le lien entre un appareil (smartphone, ordinateur, frigo, tablette...) et le serveur est nécessaire pour protéger la sécurité physique d'une personne, et bien des webmasters n'en sont pas conscients. Le seul moyen pour échapper à une telle surveillance est que le webmaster mette en place HTTPS, ça ne fait pas tout mais ce serait déjà un grand pas en avant.