jak řešit přesměrování neplatiče při https?

[okoun]

bohužel se nám v poslední době nedaří přesměrovat neplatiče na naši informativní stránku pomocí web proxy, protože už skoro všechno jede na https. nevíte o nějakém aletranitvním řešení zobrazování informací o nedoplatku?

[K3NY]

pokud ma uzivatel DNS poskytovatele neni to problem, nesla by taky obracena maskarada ? kdyz vim IP adresu nepatice mohl bych mu JUMP ve filtru predhodit pokadzne stejnou cilovku?

[zdenek.svarc]

Díky HSTS a hlavně HPKP už přesměrování není cesta.

[Majklik]

IBM M1? Aneb poslední kus HW, co opravdu fungoval, protože ho IBM vyrábělo v licenci (ale lidi od IBM to špatně nesou, pokud se jim to připomene)...

Tak nějak, není problém to spojení unést na portu 443 na svůj server, ať dle DNS nebo dstnat, ale je problém, že pokud neinvestuji XXXXXXXXX USD a certifikci pro intermediate signing certifikát s příslušným HW, tak prohlížeč zařve něco o tom, že nesouhlasí předložený certifikát s cílovou doménou a dneska nedovolí v řadě případů ani ručně to odkliknout a pokračovat dál. A pokud má web nasazeno HPKP, tak ani dynamické vydávání certifikátů nefunguje, pokud už klient jedou na cílovém webu byl a pamatuje si otisk klíče. Nicmémě HPKP má řadu i veldejších nehezkých vlatností, takže na rozdíl od HSTS není tak populární. Ale HSTS v kombinaci s prelod nastavním v pohlížeči zjišťuje, že s prohlížeč o HTTP už ani v řadě případů nesnaží i když ho user zadá, takže s unášením prostého HTTP jakýmkoliv způsobem se toho už moc nedozví.

[zdenek.svarc]

Je to tak. Čím víc logiky se cpe do prohlížeče, tím míň fungují staré finty. Přesměrování neplatičů je v podstatně MitM útok, byť s dobrým úmyslem.

[info@adambalko.cz]

Takže prostě zbývá kontaktovat zákazníka, když se to dá nebo zatnout tipec kompletně a počkat si, až se zákazník ozve, že mu to nejede

[Majklik]

Zanout tipec a nechat u toho přesměrování HTTP. Stolní PC/notebook bude mimo, ale spousta lidí používá i něco jako Androidí tablety mobily připojenou na home wifinu a tyto platformy dneska při připojení pomocí HTTP testují, zda je linka volně průchozí nebo číhá něco jako captive portál, takže pokud si to uživatel aktivně nevypnul, tak aspoň tam jim vyskočí, že něco po nich bude něco chtít a pošle je to na stránku "Tlusťochu, zaplať!".

[hocimin1]

Napadlo me je jeste jestli by neslo , neplaticum udelat redirect udp53 na vlastni dns, ktery by na vsechny dotazy vracel ip adresu serveru kde info o neplaceni.

[CrazyApe]

Mame to tak ze vsechen provoz (porty 1-> 65k) z te dane ip adresy odforwardujem na hlavni brane na verejku xx.xx.xx.xx kde je info o neplaceni.

[ludvik]

Jste nečetli Zdenka a Majklika?

[zdenek.svarc]

Napadlo me je jeste jestli by neslo , neplaticum udelat redirect udp53 na vlastni dns, ktery by na vsechny dotazy vracel ip adresu serveru kde info o neplaceni.

Bohužel DNSSEC.

[ludvik]

Teď je otázkou, jak moc současné windows rozumí dnssec (nezkoumal jsem) a zda by to přesměrování DNSky na nevalidující server leccos neřešilo.

[franta89]

Nepřesměrovat, napsat mu SMS "Vím kde bydlíš. Zaplať nebo ti ojebu mámu." a on už zaplatí.

[info@adambalko.cz]

Tohle je dost originální řešení, pokud chcete o zákazníka přijít nebo skrytě pracujete pro konkurenci

Nepřesměrovat, napsat mu SMS "Vím kde bydlíš. Zaplať nebo ti ojebu mámu." a on už zaplatí.

[ludvik]

on franta dnes dal pár příspěvků a všechny v této úrovni.