Login 100% Linux

Posté par Laurent Rathle le 10 juillet 2001 à 09:59. Modéré par Fabien Penso.

Étiquettes :

juil.

2001

Un numéro hors-série spécial Linux de Login est sorti en kiosque avec des interviews d'acteurs de Linux (Alan Cox, par exemple), des articles sur le noyau 2.4, et des articles techniques divers. Un petit encadré a attiré mon attention. Il est impossible de se connecter "pour des raisons de sécurité" au site du gouvernement Britannique si on utilise Linux et ce quelque soit le navigateur utilisé. J'ai testé ce matin avec Mozilla 0.9.2, Netscape 4.77 et Konqueror. La réponse a été la même pour tous ses navigateurs. Si quelqu'un peut vérifier et m'expliquer en quoi se connecter à partir de tel ou tel navigateur peut présenter des risques pour le serveur, je suis preneur. Je pensais jusqu'à présent que la sécurité devait se situer du coté du serveur.

Aller plus loin

Le site du Gouvernement Britannique (2 clics)

# konqueror

Posté par Anonyme le 10 juillet 2001 à 10:09. Évalué à 0.

en jouant avec les user agents de konqueror
on y arrive difficilement ( kde 22beta1 )
# dodo

Posté par Douglas Rafferty le 10 juillet 2001 à 10:14. Évalué à 1.

coucou on se reveille !!!
deja passée cette news !!
- [^] # Re: dodo
  
  Posté par Anonyme le 10 juillet 2001 à 11:06. Évalué à 0.
  
  Ah oui ?
  si elle est deja passee sur linuxfr c'est vrai c'est une erreur.
  par contre si elle est deja passee autre part et que ca t'enerve de voir des news reprises ca fait un peu "moi j'en fout je le savais deja..."
  respecte un peu ceux qui ne surfent pas sur 30 sites de news tout les jours et qui viennent ici parce que c'est une référence (si si !!)
  
  bidibulle
  - [^] # Re: dodo
    
    Posté par Anonyme le 10 juillet 2001 à 11:12. Évalué à 0.
    
    Ben tu devrais mieux lire ton site de référence. Rafferty parle de la news sur les problèmes des navigateurs avec le site du gouvernement britannique, news déjà passée et discutée ici.
  - [^] # Re: dodo
    
    Posté par Douglas Rafferty le 10 juillet 2001 à 11:43. Évalué à 1.
    
    mais non je m'enerve pas, je signale, c'est tout. (et c'est vrai que c'est seulement au choix debile du gouvernement britanique que je faisais allusion)
    - [^] # Re: dodo
      
      Posté par Anonyme le 10 juillet 2001 à 11:47. Évalué à 0.
      
      Ok mea culpa :)
      avait pas compris ce que tu voulais dire
      
      bidibulle
- [^] # Re: dodo
  
  Posté par Anonyme le 10 juillet 2001 à 11:37. Évalué à 0.
  
  La news "Login 100% Linux" est déja passée ? je crois pas. Le truc de la fin oui, mais pas la news.
# Pffff...

Posté par ufoot (site web personnel) le 10 juillet 2001 à 10:24. Évalué à 1.

Y mériteraient qu'on se penche sur leur cas et essayer voir si leurs admins appliquent vraiment tous les patchs Microsoft en temps et en heure 8-)

Eh oui, à l'heure d'internet, Microsoft invente avec IIS et IE le client/serveur propriétaire, qu'on croyait pourtant mort...
- [^] # Re: Pffff...
  
  Posté par ufoot (site web personnel) le 10 juillet 2001 à 10:26. Évalué à 1.
  
  Oups, me stupid, j'ai oublié de préciser: je parlais du site du gouvernement britannique, et pas de login, contre lequel je n'ai aucune aversion particulière.
  - [^] # Re: Pffff...
    
    Posté par Anonyme le 11 juillet 2001 à 01:02. Évalué à -1.
    
    Apache 1.3.6 pour notre part. Chose surprenante, il a été impossible de consulter nos sites depuis les navigateurs employés sous Linux, pendant plusieurs semaines. Brusquement, le problème à disparu et nous n'avons toujours pas pu déterminer ce qui se passait (netscape ne fonctionnait pas, konqueror non plus et le problème survenait aussi depuis IE mais très rarement).
# On y arrive quand même

Posté par Orphée le 10 juillet 2001 à 11:08. Évalué à 1.

En fait, le problème avec ce site du gouvernement britannique, c'est l'encryption. J'ai fait le test sous Win98 SE, avec Netscape 4.7 en français, et effectivement, la première fois, j'ai pas pu accéder aux pages sécurisées.
J'ai flairé le coup... Je suis allé sur le site de Fortify.net, j'ai vérifié la crypto de mon Netscape, qui était ridiculement basse, 40 bits, je crois.
J'ai mis à jour mon Netscape avec le correctif Fortify for Netscape fourni sur leur site, et là, paf, plus de problème. Avec Netscape équipé du RC4-128 bits, j'ai alors pu accéder à toutes les pages que je voulais, même les pages de remplissage de formulaire pour déclarer ses impôts en Angleterre. J'ai pas poussé plus loin l'expérience, merci !
Contrairement à ce qui est affirmé sur le site de Netscape, au moment de télécharger une version française de Netscape 4.7, le puissance de cryptage N'EST PAS de 128 bit, mais de 40.

http://www.fortify.net(...)
- [^] # Même constat
  
  Posté par Ano le 10 juillet 2001 à 11:32. Évalué à 1.
  
  C'est pas Linux qui est jeté, c'est les navigateurs avec cryptage trop faible. Le problème de sécurité se pose pour les données qui transitent, histoire de pas retrouver sa déclaration dans "the Sun".
  
  Bref, RAS, soufflet off, un ch'tit coup de massue et couché le troll.
  - [^] # Re: Même constat
    
    Posté par Anonyme le 10 juillet 2001 à 11:52. Évalué à 0.
    
    NON ! Netscape 4.77 128 bits sous Linux ne passe pas, désolé.
- [^] # Re: On y arrive quand même
  
  Posté par Anonyme le 10 juillet 2001 à 12:01. Évalué à 0.
  
  Sous links.. Test sur www.fortify.net:
  ------------------------------------------------ You have connected to this web server using the EDH-RSA-DES-CBC3-SHA encryption cipher with a secret key length of 168 bits. This is a high-grade encryption connection, regarded by most experts as being suitable for sending or receiving even the most sensitive or valuable information across a network.------------------------------------------------
  
  Chouette.... Allons faire un petit tour sur le site du Gouvernement Britannique:
  ------------------------------------------------ You cannot access the Government Gateway at the moment. This is because you are either using an old version of a browser, or the browser you are using does not have the correct settings. Read this page to find out which browsers are supported and which settings to use. Supported Browsers We have made the Government Gateway compatible with as many browsers as possible, on both PCs and Macintoshes. However, because we need to maintain maximum security on this web site, we cannot support older versions of browsers. To use the Government Gateway, you must have: * a PC, with Windows 95 or later, or Windows NT 4.0 or later with Microsoft Internet Explorer version 4.01 or later or Netscape Navigator version 4.08 or later * OR an Apple Macintosh with Mac OS version 7.5 or later with Microsoft Internet Explorer version 5.0 or later or Netscape Navigator version 4.xx or later * a working Internet connection * the 128-bit security add-in, for your version of the browser------------------------------------------------
  
  :( J'suis dégouté ....
  - [^] # Re: On y arrive quand même
    
    Posté par Mathieu Millet (site web personnel) le 10 juillet 2001 à 12:56. Évalué à 1.
    
    Cela vient certainement du fait que le navigateur que tu utilises, ne gere pas les certificats, enfin, de la maniere que le gouvernement britannique voudrait qu'il le fasse.
    
    Extrait de 'ce que tu as besoin pour te connecter' :
    
    Please note that if you wish to enrol for services that require a digital certificate, you may not be able to use the full range of browsers listed above. For example, Equifax certificates can currently only be used with Internet Explorer 5.01 or later (they do not work on any version of the Netscape browser); ChamberSign certificates can be used with both Nestcape Navigator and Internet Explorer, except they are not currently supported on version 6 of the Netscape browser. Please check your certificate provider's web site for more information about which browsers they support.
    
    Donc l'erreur que tu obtiens est generique quelque soit le probleme rencontre (qui le plus souvent est : votre navigateur ne supporte pas le chiffrement 128 bits).
    - [^] # Re: On y arrive quand même
      
      Posté par Anonyme le 10 juillet 2001 à 13:23. Évalué à 0.
      
      Bon, toujours est-il que meme avec un browser qui utilise l'encryption 128bits, ce site renvoie une insulte, et oblige à activer toutes les saloperies qui existe:
      o use the Government Gateway, you must also have the following options enabled in your browser:
      
      * Your browser must be set to accept cookies
      * Java must be enabled
      * Javascript must be enabled
      
      (ils ont sans doute oublié:
      * vous devez utiliser windows (voir article precedent sur linuxfr)
      )
      - [^] # Re: On y arrive quand même
        
        Posté par Orphée le 10 juillet 2001 à 16:11. Évalué à 1.
        
        Et Windows must be enabled !
        Y a pas des moyens de tromper un serveur ? De régler la signature d'un navigateur pour faire croire qu'on a activé tel ou telle chose ?
        Par exemple, on peut régler la signature d'Opera, pour faire croire au serveur qu'on surfe avec Netscape ou IE ; on peut même régler la version !
        Pourquoi on pourrait pas, comme ça, contrôler tout l'ensemble de la signature ?
        Je dis une bêtise ?...
        
        [^] # Re: On y arrive quand même
        
        Posté par Anonyme le 10 juillet 2001 à 16:21. Évalué à 0.
        
        Le "user-agent" peut facilement être modifié. Avec Lynx ou Konqueror (pour ne citer qu'eux) c'est chose facile.
        
        Le User-Agent est cette chaine de caractères qui ressemble à ça:
        - Lynx/2.8.3dev.18 libwww-FM/2.14
        - Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)
        - Etc...
        
        Par contre, si le serveur fait des tests pour s'assurer que le client possède bien tout ce qu'il faut pour assurer une connexion sécurisée, je ne sais pas s'il est si facile que ça de le tromper...
# cf linuxuser

Posté par bfdp le 10 juillet 2001 à 11:28. Évalué à 1.

Pour + d'info sur ce site, cf http://www.linuxuser.co.uk/articles/issue11/gateway.html(...)
# pour en rajouter

Posté par dguihal le 10 juillet 2001 à 15:08. Évalué à 1.

Je dirai que bien que konqueror ne fonctionne pas, mozilla (v0.9.1) fonctionne, lui, tres bien, donc on peut parfaitement avoir acces a ce site via linux
- [^] # Re: pour en rajouter
  
  Posté par Anonyme le 11 juillet 2001 à 22:42. Évalué à 0.
  
  si ça peux vous consoler, j'ai essayé avec mon navigateur de prédilection sous windows : opera et je peux vous dire que ça marche pas non plus, j'en déduit que le gouvernement anglais est vendu à microsoft et à aol.
# c'est possible

Posté par Anonyme le 10 juillet 2001 à 16:01. Évalué à 0.

j'y suis allé avec:

- Mozilla 0.9.1+ / Windows
- Mozilla 0.9.2 / FreeBSD-Linux

Ce qu'il faut, c'est le support du SSL 128 bits (option --enable-crypto pour ./configure de Mozilla).
https://www.fortify.net/sslcheck.htm(...) pour vérifier
- [^] # Re: c'est possible
  
  Posté par Anonyme le 10 juillet 2001 à 16:03. Évalué à 0.
  
  oups !
  l'url pour vérifier c'est:
  
  https://www.fortify.net/sslcheck.html(...)
# telnet rulez !

Posté par Anonyme le 10 juillet 2001 à 17:33. Évalué à 0.

al@freebsd:~$ telnet www.gateway.gov.uk 80^M
Trying 212.137.42.225...^M
Connected to www.gateway.gov.uk.^M
Escape character is '^]'.^M
GET / HTTP/1.0^M
User-Agent: Mozilla/5.0(X12; Mozilla; Hello)^M
^M
HTTP/1.1 200 OK^M
[...]
<title>Government Gateway - Unsupported Browser</title>^M
[...]

al@freebsd:~$ telnet www.gateway.gov.uk 80^M
Trying 212.137.42.225...^M
Connected to www.gateway.gov.uk.^M
Escape character is '^]'.^M
GET / HTTP/1.0^M
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)^M
^M
HTTP/1.1 200 OK^M
[...]
<title>Government Gateway - Homepage</title>^M
[...]

No comment. Il suffit de trafiquer le User Agent.
# acceder au site avec lynx

Posté par Anonyme le 10 juillet 2001 à 17:42. Évalué à 0.

lynx -useragent='Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; SYMPA)' http://www.gateway.gov.uk/(...)
- [^] # Re: acceder au site avec lynx
  
  Posté par Anonyme le 10 juillet 2001 à 22:26. Évalué à 0.
  
  lynx -useragent='Mozilla/4.0 (compatible; MSIE 5.5; Linux 98; SYMPA)' http://www.gateway.gov.uk(...)
  
  You cannot access the Government Gateway at the moment. This is because you are either using an old version of a browser, or the browser you are using does not have the correct settings. Read this page to find out which browsers are supported and which settings to use.
  
  Y'a pas à chier, ils doivent avoir des actions chez Microsoft...
- [^] # Re: acceder au site avec lynx
  
  Posté par Anonyme le 11 juillet 2001 à 17:44. Évalué à 0.
  
  plus facile encore !
  lynx http://www.gateway.gov.uk/(...)
  
  et ça marche du premier coup, ça a été mon premier réflexe en lisant qu'aucun browser ne passait sous linux ::)
  
  asher

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.