Projet

Général

Profil

Actions

Bug #6518

fermé

Drag & Drop applet bloquée si utilisé derrière un reverse proxy avec certificat commercial

Ajouté par Umar Raad il y a plus de 9 ans. Mis à jour il y a environ 9 ans.

Statut:
Closed
Priorité:
Normal
Assigné à:
Catégorie:
Glisser/Déposer
Début:
28/04/2015
Echéance:
% réalisé:

100%

Temps estimé:
Navigateur:
Firefox
Votre version de Silverpeas:
5.14.3
Système d'exploitation:
Windows 7
Votre base de données:
PostgreSQL
Livraison en TEST:
Livraison en PROD:

Description

Bonjour,

Comme vous pouvez le lire dans le titre, il s'agit là d'un cas assez particulier. Il faut que les conditions suivantes soient réunies:

- Utilisation d'un reverse proxy pour la publication du serveur Silverpeas
- Disposer d'un certificat commercial servant à présenter Silverpeas installé sur le reverse proxy (Le problème ne se présente PAS avec un certificat auto-signé)

Architecture (Sophos UTM 9.310-11):

Client Externe -- 443 --> Reverse Proxy/Firewall -- 80 --> Serveur Silverpeas

Cas 1: Publication avec certificat auto-signé sur le reverse proxy

- Lancement de Firefox et validation de l'alerte de sécurité pour le certificat auto-signé
- Ouvrir une publication (n'importe laquelle) et cliquer sur "Pour déposer rapidement un fichier"
- Valider l'alerte de sécurité pour le certificat (Voir pièce jointe "WarningButOK.jpg")
- L'applet se charge et est utilisable
- OK

Cas 2: Publication avec certificat commercial sur le reverse proxy

- Lancement de Firefox
- Ouvrir une publication (n'importe laquelle) et cliquer sur "Pour déposer rapidement un fichier"
- Applet en erreur avec message suivant dans la console (Voir pièce jointe "CommercialKO.jpg" et "JavaConsole.txt")
- L'applet ne se charge pas.

Afin d'éviter toute ambiguïté quant au reste de la configuration du reverse proxy, je n'ai changé aucune configuration côté firewall ou serveur Silverpeas et je n'ai fait que rajouter l'entrée suivante dans le fichier hosts du client se connectant au serveur à travers le proxy (Adresse pour la verification du certificat auprès de l’émetteur):

127.0.0.1 ocsp.startssl.com

Après avoir fait cette modification, je me retrouve dans le même cas de figure que dans le cas 1 (Certificat auto-signé)

J'ai peut-être fait une erreur de configuration qqpart, mais je me rappelle avoir vu passer une demande de feature pour remplacer le Drag & Drop actuel par une version HTML5. Compte tenu de l'augmentation régulière de la sécurité minimale configurable d'une version à l'autre de Java et de la complexification progressive de l'utilisation de l'applet sans alerte de sécurité, je ne peux que vous encourager en ce sens.

Merci pour votre aide.

Cordialement,

Umar


Fichiers

CommercialKO.jpg (192 ko) CommercialKO.jpg Umar Raad, 28/04/2015 22:30
WarningButOK.jpg (75,2 ko) WarningButOK.jpg Umar Raad, 28/04/2015 22:30
JavaConsole.txt (32,7 ko) JavaConsole.txt Umar Raad, 28/04/2015 22:44

Demandes liées 1 (0 ouverte1 fermée)

Lié à Silverpeas Core - Feature #5710: Glisser / déposer en HTML5ClosedYohann Chastagnier20/06/2014

Actions

Mis à jour par David Lesimple il y a plus de 9 ans

  • Projet changé de GED à Silverpeas Core
  • Catégorie mis à Glisser/Déposer

Mis à jour par David Lesimple il y a plus de 9 ans

  • Statut changé de New à Feedback

Bonjour, quelques éléments de réponse, la vérification par un serveur OSCP n'est pas obligatoire, d'ailleurs il semble que seul Firefox la demande.
De plus, de ce que j'ai pu lire, seuls les certificats de classe1 (ceux gratuits notamment) sont impactés.

Nous n'avons jamais rencontré de problèmes avec les certificats de classe 2.

Pour le D&D sous HTML5, c'est normalement prévu... l'objectif est de s'affranchir de Java coté client, car depuis Java7, les restrictions de sécurité deviennent pénibles à gérer..

Mis à jour par Umar Raad il y a plus de 9 ans

Bonjour,

Je vous confirme que ce "Workaround" (L'inscription dans le Hosts) ne fonctionne qu'avec Firefox.
Je vous confirme aussi que c'est un certificat wildcard de classe 2 qui est installé. (Vous pouvez le voir sous https://intra.xsys.ch)
Je peux aussi vous confirmer qu'exactement la même configuration (Reverse proxy etc etc), avec un certificat auto-généré ne pose pas ce problème.

C'est un peu un mystère, en tous cas pour moi.

Je vous rassure néanmoins sur un point. Je ne vais pas vous harceler pour débuguer ça. Ca ressemble fortement à quelque chose de très pénible à trouver et c'est clair que si cette énergie est plutôt mise dans le développement de la version HTML5 je ne peux qu'applaudir.

Si ce n'est pas encore une information confidentielle, est-ce que vous avez déjà une idée (Pas une promesse, on s'entend) de quand la version HTML5 sera disponible?

Cordialement,

Umar

Mis à jour par Nicolas Eysseric il y a environ 9 ans

Mis à jour par Nicolas Eysseric il y a environ 9 ans

  • Statut changé de Feedback à In progress...
  • Assigné à mis à Yohann Chastagnier
  • Version cible mis à Version 5.15

Ce problème ne sera plus qu'un mauvais souvenir avec la feature #5710...

Mis à jour par Nicolas Eysseric il y a environ 9 ans

  • Statut changé de In progress... à Closed
  • % réalisé changé de 0 à 100

Bye bye Java côté client avec Silverpeas 5.15 grâce à la feature #5710 notamment...

Actions

Formats disponibles : Atom PDF