Project

General

Profile

Bug #6518

Drag & Drop applet bloquée si utilisé derrière un reverse proxy avec certificat commercial

Added by Umar Raad about 4 years ago. Updated over 3 years ago.

Status:
Closed
Priority:
Normal
Category:
Glisser/Déposer
Start date:
04/28/2015
Due date:
% Done:

100%

Estimated time:
Navigateur:
Firefox
Votre version de Silverpeas:
5.14.3
Système d'exploitation:
Windows 7
Votre base de données:
PostgreSQL

Description

Bonjour,

Comme vous pouvez le lire dans le titre, il s'agit là d'un cas assez particulier. Il faut que les conditions suivantes soient réunies:

- Utilisation d'un reverse proxy pour la publication du serveur Silverpeas
- Disposer d'un certificat commercial servant à présenter Silverpeas installé sur le reverse proxy (Le problème ne se présente PAS avec un certificat auto-signé)

Architecture (Sophos UTM 9.310-11):

Client Externe -- 443 --> Reverse Proxy/Firewall -- 80 --> Serveur Silverpeas

Cas 1: Publication avec certificat auto-signé sur le reverse proxy

- Lancement de Firefox et validation de l'alerte de sécurité pour le certificat auto-signé
- Ouvrir une publication (n'importe laquelle) et cliquer sur "Pour déposer rapidement un fichier"
- Valider l'alerte de sécurité pour le certificat (Voir pièce jointe "WarningButOK.jpg")
- L'applet se charge et est utilisable
- OK

Cas 2: Publication avec certificat commercial sur le reverse proxy

- Lancement de Firefox
- Ouvrir une publication (n'importe laquelle) et cliquer sur "Pour déposer rapidement un fichier"
- Applet en erreur avec message suivant dans la console (Voir pièce jointe "CommercialKO.jpg" et "JavaConsole.txt")
- L'applet ne se charge pas.

Afin d'éviter toute ambiguïté quant au reste de la configuration du reverse proxy, je n'ai changé aucune configuration côté firewall ou serveur Silverpeas et je n'ai fait que rajouter l'entrée suivante dans le fichier hosts du client se connectant au serveur à travers le proxy (Adresse pour la verification du certificat auprès de l’émetteur):

127.0.0.1 ocsp.startssl.com

Après avoir fait cette modification, je me retrouve dans le même cas de figure que dans le cas 1 (Certificat auto-signé)

J'ai peut-être fait une erreur de configuration qqpart, mais je me rappelle avoir vu passer une demande de feature pour remplacer le Drag & Drop actuel par une version HTML5. Compte tenu de l'augmentation régulière de la sécurité minimale configurable d'une version à l'autre de Java et de la complexification progressive de l'utilisation de l'applet sans alerte de sécurité, je ne peux que vous encourager en ce sens.

Merci pour votre aide.

Cordialement,

Umar


Files

CommercialKO.jpg (192 KB) CommercialKO.jpg Umar Raad, 04/28/2015 10:30 PM
WarningButOK.jpg (75.2 KB) WarningButOK.jpg Umar Raad, 04/28/2015 10:30 PM
JavaConsole.txt (32.7 KB) JavaConsole.txt Umar Raad, 04/28/2015 10:44 PM

Related issues

Related to Silverpeas Core - Feature #5710: Glisser / déposer en HTML5Closed06/20/2014

Actions

History

#1

Updated by David Lesimple about 4 years ago

  • Project changed from GED to Silverpeas Core
  • Category set to Glisser/Déposer
#2

Updated by David Lesimple about 4 years ago

  • Status changed from New to Feedback

Bonjour, quelques éléments de réponse, la vérification par un serveur OSCP n'est pas obligatoire, d'ailleurs il semble que seul Firefox la demande.
De plus, de ce que j'ai pu lire, seuls les certificats de classe1 (ceux gratuits notamment) sont impactés.

Nous n'avons jamais rencontré de problèmes avec les certificats de classe 2.

Pour le D&D sous HTML5, c'est normalement prévu... l'objectif est de s'affranchir de Java coté client, car depuis Java7, les restrictions de sécurité deviennent pénibles à gérer..

#3

Updated by Umar Raad about 4 years ago

Bonjour,

Je vous confirme que ce "Workaround" (L'inscription dans le Hosts) ne fonctionne qu'avec Firefox.
Je vous confirme aussi que c'est un certificat wildcard de classe 2 qui est installé. (Vous pouvez le voir sous https://intra.xsys.ch)
Je peux aussi vous confirmer qu'exactement la même configuration (Reverse proxy etc etc), avec un certificat auto-généré ne pose pas ce problème.

C'est un peu un mystère, en tous cas pour moi.

Je vous rassure néanmoins sur un point. Je ne vais pas vous harceler pour débuguer ça. Ca ressemble fortement à quelque chose de très pénible à trouver et c'est clair que si cette énergie est plutôt mise dans le développement de la version HTML5 je ne peux qu'applaudir.

Si ce n'est pas encore une information confidentielle, est-ce que vous avez déjà une idée (Pas une promesse, on s'entend) de quand la version HTML5 sera disponible?

Cordialement,

Umar

#4

Updated by Nicolas Eysseric almost 4 years ago

#5

Updated by Nicolas Eysseric almost 4 years ago

  • Status changed from Feedback to In progress...
  • Assignee set to Yohann Chastagnier
  • Target version set to Version 5.15

Ce problème ne sera plus qu'un mauvais souvenir avec la feature #5710...

#6

Updated by Nicolas Eysseric over 3 years ago

  • Status changed from In progress... to Closed
  • % Done changed from 0 to 100

Bye bye Java côté client avec Silverpeas 5.15 grâce à la feature #5710 notamment...

Also available in: Atom PDF