ReLoad

Thierry Jaouen ~ WikiBlog
"Rien à foutre d'être lu, tant que je peux me relire."

Outils pour utilisateurs

Outils du site


blog:2015:09:15:comment_rendre_www.free.fr_inaccessible

Comment rendre www.free.fr inaccessible ?

:!: UPDATE +30 minutes: On est sauvé ? Le problème a été corrigé ?
:!: UPDATE +10 minutes: Le problème apparait et disparait par intermittence, selon les serveurs qui répondent

Un trucs marrant que je viens de découvrir… je vais encore me faire des Amis ;-)

A ma connaissance, ça ne fonctionne qu'avec Firefox, mais c'est déjà pas mal.

Pour tuer votre accès a “http://www.free.fr” en un 1 click, il suffit de taper sur le lien en “https”.

  • Vous êtes sur Firefox ?
  • Vous êtes prêt ?

Go: “https://www.free.fr

Quoi ? Ça marche? vous arrivez peut être encore sur le “http://www.free.fr” (sans le 'S' de https).

Re-essayez encore.

Bang. Ça marche plus. Le site “http” de “http://www.free.fr” est devenu inaccessible par Firefox !?

Et vous aurez beau redémarrer Firefox, “nettoyer le cache” , vous ne pouvez plus atteindre le site “http://www.free.fr”.

~~READMORE~~

Le problème

Regardons ce qui ce passe dans les entêtes d'une requête vers “https://www.free.fr” (avec un “S”) :

:!: UPDATE: il semblerait que certains serveurs de Free ne produisent pas le même résultat
$ curl -k -I https://www.free.fr
HTTP/1.1 302 Moved Temporarily
Server: nginx
Date: Tue, 15 Sep 2015 03:23:52 GMT
Content-Type: text/html
Content-Length: 154
Connection: keep-alive
Location: http://www.free.fr/
Strict-Transport-Security: max-age=31536000; includeSubdomains;

En clair, la réponse du frontal de Free est :

  • “ Le site a été temporairement déplacé. ”
  • “ Va plutôt par là: http://www.free.fr/ (sans le “S”) ”
  • “ Enregistre pour 1 an que tu devras toujours utiliser le ”httpS“ ” .

Quoi ? On force en HTTPS et on renvoi sur le HTTP ???

C'est la réponse suivante qui pose problème:

Strict-Transport-Security: max-age=31536000; includeSubdomains;

Il s'agit du protocole HSTS dont on peut avoir une bonne explication (comme toujours) sur le site de Bortzmeyer .

C'est une spécification, supportée par Firefox, mais pas encore par tout les browsers. (je crois que “Chrome” le supporte aussi… mais ça ne produit pas le même effet).

Solution

Pour Free: Virer la réponse HSTS ou supporter le “https”.

Pour vous, pauvres utilisateurs sous Firefox :

J'ai déjà parlé de mes petits soucis avec Firefox et le HSTS .

La solution est là même :

Supprimer la référence à “www.free.fr” dans le fichier “SiteSecurityServiceState.txt

Sous Linux, arrêter totalement Firefox (fermer toutes les fenêtres), et puis:

$ cd ~/.mozilla/firefox/<VOTRE_PROFIL>
$ sed -i -e '/^www\.free\.fr/d' SiteSecurityServiceState.txt

Voila.

blog/2015/09/15/comment_rendre_www.free.fr_inaccessible.txt · Dernière modification: 2016/04/15 11:31 par thierry