Bug #6518
fermé
Drag & Drop applet bloquée si utilisé derrière un reverse proxy avec certificat commercial
100%
Description
Bonjour,
Comme vous pouvez le lire dans le titre, il s'agit là d'un cas assez particulier. Il faut que les conditions suivantes soient réunies:
- Utilisation d'un reverse proxy pour la publication du serveur Silverpeas
- Disposer d'un certificat commercial servant à présenter Silverpeas installé sur le reverse proxy (Le problème ne se présente PAS avec un certificat auto-signé)
Architecture (Sophos UTM 9.310-11):
Client Externe -- 443 --> Reverse Proxy/Firewall -- 80 --> Serveur Silverpeas
Cas 1: Publication avec certificat auto-signé sur le reverse proxy
- Lancement de Firefox et validation de l'alerte de sécurité pour le certificat auto-signé
- Ouvrir une publication (n'importe laquelle) et cliquer sur "Pour déposer rapidement un fichier"
- Valider l'alerte de sécurité pour le certificat (Voir pièce jointe "WarningButOK.jpg")
- L'applet se charge et est utilisable
- OK
Cas 2: Publication avec certificat commercial sur le reverse proxy
- Lancement de Firefox
- Ouvrir une publication (n'importe laquelle) et cliquer sur "Pour déposer rapidement un fichier"
- Applet en erreur avec message suivant dans la console (Voir pièce jointe "CommercialKO.jpg" et "JavaConsole.txt")
- L'applet ne se charge pas.
Afin d'éviter toute ambiguïté quant au reste de la configuration du reverse proxy, je n'ai changé aucune configuration côté firewall ou serveur Silverpeas et je n'ai fait que rajouter l'entrée suivante dans le fichier hosts du client se connectant au serveur à travers le proxy (Adresse pour la verification du certificat auprès de l’émetteur):
127.0.0.1 ocsp.startssl.com
Après avoir fait cette modification, je me retrouve dans le même cas de figure que dans le cas 1 (Certificat auto-signé)
J'ai peut-être fait une erreur de configuration qqpart, mais je me rappelle avoir vu passer une demande de feature pour remplacer le Drag & Drop actuel par une version HTML5. Compte tenu de l'augmentation régulière de la sécurité minimale configurable d'une version à l'autre de Java et de la complexification progressive de l'utilisation de l'applet sans alerte de sécurité, je ne peux que vous encourager en ce sens.
Merci pour votre aide.
Cordialement,
Umar
Fichiers
| CommercialKO.jpg (192 ko) CommercialKO.jpg | |||
| WarningButOK.jpg (75,2 ko) WarningButOK.jpg | |||
| JavaConsole.txt (32,7 ko) JavaConsole.txt |
Mis à jour par David Lesimple il y a presque 9 ans
- Projet changé de GED à Silverpeas Core
- Catégorie mis à Glisser/Déposer
Mis à jour par David Lesimple il y a presque 9 ans
- Statut changé de New à Feedback
Bonjour, quelques éléments de réponse, la vérification par un serveur OSCP n'est pas obligatoire, d'ailleurs il semble que seul Firefox la demande.
De plus, de ce que j'ai pu lire, seuls les certificats de classe1 (ceux gratuits notamment) sont impactés.
Nous n'avons jamais rencontré de problèmes avec les certificats de classe 2.
Pour le D&D sous HTML5, c'est normalement prévu... l'objectif est de s'affranchir de Java coté client, car depuis Java7, les restrictions de sécurité deviennent pénibles à gérer..
Mis à jour par Umar Raad il y a presque 9 ans
Bonjour,
Je vous confirme que ce "Workaround" (L'inscription dans le Hosts) ne fonctionne qu'avec Firefox.
Je vous confirme aussi que c'est un certificat wildcard de classe 2 qui est installé. (Vous pouvez le voir sous https://intra.xsys.ch)
Je peux aussi vous confirmer qu'exactement la même configuration (Reverse proxy etc etc), avec un certificat auto-généré ne pose pas ce problème.
C'est un peu un mystère, en tous cas pour moi.
Je vous rassure néanmoins sur un point. Je ne vais pas vous harceler pour débuguer ça. Ca ressemble fortement à quelque chose de très pénible à trouver et c'est clair que si cette énergie est plutôt mise dans le développement de la version HTML5 je ne peux qu'applaudir.
Si ce n'est pas encore une information confidentielle, est-ce que vous avez déjà une idée (Pas une promesse, on s'entend) de quand la version HTML5 sera disponible?
Cordialement,
Umar
Mis à jour par Nicolas Eysseric il y a plus de 8 ans
- Lié à Feature #5710: Glisser / déposer en HTML5 ajouté
Mis à jour par Nicolas Eysseric il y a plus de 8 ans
- Statut changé de Feedback à In progress...
- Assigné à mis à Yohann Chastagnier
- Version cible mis à Version 5.15
Ce problème ne sera plus qu'un mauvais souvenir avec la feature #5710...
Mis à jour par Nicolas Eysseric il y a plus de 8 ans
- Statut changé de In progress... à Closed
- % réalisé changé de 0 à 100
Bye bye Java côté client avec Silverpeas 5.15 grâce à la feature #5710 notamment...