#http

Russische Zensurbehörde blockiert Cloudflare wegen Verschlüsselungsoption
▻https://www.heise.de/news/Blockade-durch-Zensurbehoerde-Russland-zensiert-Cloudflare-Websites-10010100.h

Cet article sur une mesure légale russe contre la confidentialité des connexions https pose implicitement la question par quel service on protège ses serveurs contre les attaques DDOS et ses visiteurs contre l’espionnage par les états et les entreprises privées.

Quand par exemple les serveurs d’un centre de calcul sont systématiquement configurés pour l’utilisation des serveurs DNS de Google, ils exposent les clients du centre à la surveillance par le géant états-unien.

Les avantages des services connus de tous sont leur puissance et disponibilité assurées. Je n’ai pas encore trouvé d’alternative vraiment indépemdante et d’une qualité technique comparable aux Cloudflare, Google, Amazon ou Microsoft.

Est-ce qu’il existe une liste de fournisseurs de DNS, CDN etc. qui sont à la fois indépendants des états et des monopoles et assez fiables pour une utilisation professionnelle ?

L’histoire de la Crypto AG montre qu’il ne suffit pas de souscrire à un service suisse pourvêtre à l’abri de l’espionnage par_ The Usual Suspects_ .
►https://en.m.wikipedia.org/wiki/Crypto_AG

8.11.2024 von Dr. Christopher Kunz - Aufgrund einer im Oktober bei Cloudflare aktivierten Option können Netz-Zensoren nun noch schlechter in verschlüsselten Web-Traffic hineinschauen.

Russische Webseiten-Betreiber und -Nutzer sollen Abstand von Diensten des US-Anbieters Cloudflare nehmen, empfiehlt die Zensur- und Aufsichtsbehörde Roskomnadzor. Grund dafür ist die Einführung einer TLS-Erweiterung namens Encrypted Client Hello (ECH) durch Cloudflare. Die russische Aufsichtsbehörde sieht dadurch die Sicherheit im Land gefährdet, da sie nun bestimmte Webseiten nicht mehr blockieren kann. Deswegen blockiert sie rundheraus alle von Cloudflare ausgelieferten Webseiten mit ECH.

Dessen Nutzung sei gesetzeswidrig und verstoße gegen „Technische Maßnahmen zur Bekämpfung von Bedrohungen“ ("техническими средствами противодействия угрозам"), so Rozkomnadzor in einer Mitteilung. Die ECH-Erweiterung verschlüsselt den Domainnamen beim Aufruf einer Webseite per HTTPS so, dass mithorchende Firewalls oder Zensurstellen diesen nicht mehr einsehen können, sondern lediglich eine generische Domain (im Falle Cloudflares „cloudflare-ech.com“) ermitteln. Sie ersetzt das unsichere SNI (Server Name Indication), das diesen Domainnamen unverschlüsselt zwischen Client und Server übertrug.

Die Cloudflare-ECH-Domain blockieren russische Provider nun, sofern ein zweites Kriterium ebenfalls zutrifft: Die ECH-Protokollerweiterung ist gesetzt. Trifft eines der beiden Kriterien nicht zu, so lassen die russischen Zensurmechanismen das Paket passieren. Damit sind alle über Cloudflares CDN (Content Delivery Network) ausgelieferten Webseiten inner- und außerhalb Russlands potenziell betroffen.
Auswirkungen unklar

Wie groß die Auswirkungen dieser Blockade sind, ist unklar: Cloudflare hat auf eine Anfrage der heise-Redaktion bislang nicht geantwortet. Wir werden diese Meldung ergänzen, sobald eine Stellungnahme aus San Francisco eingeht.

Nicht alle Browser unterstützen derzeit ECH. So ist die Protokollerweiterung bei Firefox standardmäßig ab Version 119, in Googles Chrome-Browser ab Version 117 aktiviert. Auch Microsofts auf Chromium basierender Edge-Browser kommt mit ECH zurecht, Safari derzeit aber offenbar nicht.
Russische Firmen in Zugzwang

Wer ein CDN benötige, möge sich nach einem inländischen Anbieter umsehen, so Roskomnadzors wenig überraschender Vorschlag. Um sich gegen DDoS-Angriffe zu schützen, könne man auf das „Nationale System zur Abwehr von DDoS-Angriffen“ zurückgreifen, verspricht die Behörde.

Cloudflare-Kunden in Russland stehen jetzt vor der Wahl, wie von RKN „vorgeschlagen“ auf ein inländisches CDN umzusteigen oder die TLS-Erweiterung für ECH zu deaktivieren. Das ist hingegen für Nutzer kostenloser Cloudflare-Konten nicht möglich, denn der Anbieter versteckt die entsprechende Option offenbar hinter einem kostenpflichtigen Zusatzmodul namens „Advanced Certificate Manager“. Im Selbstversuch fanden wir beim heise-Security-Testkonto lediglich einen Schalter, um TLS 1.3 zu deaktivieren. Das bewirkt zwar ebenfalls eine Abschaltung von ECH, bringt jedoch weitere Sicherheitsnachteile mit sich und will gut überlegt sein.

Russische Unternehmen und Experten äußerten sich gegenüber der Wirtschaftszeitung RBK unterschiedlich. So habe Cloudflare in Russland einen Marktanteil bei CDNs von 44 Prozent, schätzte Evgeny Martynov von RU-Center IT. Es gebe aber gute russische Alternativen. Der Geschäftsführer eines russischen CDN-Anbieters konstatierte gar, die meisten russischen Webseitenbetreiber hätten sich Anfang 2022 bereits von Cloudflare zurückgezogen. Er spielt damit auf den völkerrechtswidrigen russischen Angriffskrieg gegen die Ukraine an, der im Februar 2022 begann und breite westliche Sanktionen nach sich zog.

Anderen Quellen zufolge sei gerade das Gratis-Angebot von Cloudflare nach wie vor recht beliebt in Russland. Den großen Funktionsumfang des amerikanischen CDN-Anbieters vollständig zu ersetzen, werde für manche Nutzer aufwendig und teuer, glaubt zudem ein Manager des russischen Providers Selectel.

#https #protocoles #DNS #confidentialité #internet #espionnage

How to Create Trusted SSL Certificates for Your Local Development | by Hicaro Adriano | Better Programming
▻https://betterprogramming.pub/how-to-create-trusted-ssl-certificates-for-your-local-development

Howto pour créer et utiliser des certificats SSL auto-signés pour le développement sur un serveur (Apache) local
Voir aussi :
– utilisation détaillée de OpenSSL : ▻https://docs.joshuatz.com/cheatsheets/security/self-signed-ssl-certs
– créer voir et convertir des certificats SSL : ▻https://www.baeldung.com/openssl-self-signed-cert
– approuver un certificat racine perso sur MacOS : ▻https://www.freecodecamp.org/news/how-to-get-https-working-on-your-local-development-environment-in-5-mi
– modifications de configuration de MAMP pour utiliser HTTPS : ▻https://stackoverflow.com/questions/54239362/how-to-set-up-ssl-for-localhost-and-virtual-hosts-with-mamp

#OpenSSL #Apache #HTTPS #certificat_auto-signé #MAMP

Un serveur localhost en https

Un fois installé, cet alias permet d’aller dans n’importe quel répertoire et de taper : localhost pour ouvrir le répertoire dans un browser. Le https est indispensable pas tellement pour la sécurité (tout est en local), mais pour activer certaines API du web moderne.

je bute toujours là-dessus quand j’en ai besoin, mais là j’ai pris les 20 minutes nécessaires pour me faire un script qui va bien, et c’était pas si affreux. Je note pour m’en ressouvenir plus tard.

1. créer un répertoire et y enregistrer des certificats

2. Accepter le certificat
(double-clic sur le fichier localhost.crt puis accepter tout dans le trousseau)

3. créer un fichier cert.js contenant exactement :

4. créer un alias dans ~/.zprofile
alias localhost="npx live-server --https=/Users/fil/Sites/cert/cert.js"

et penser à l’activer : source ~/.zprofile

live-server est plus cool que http-server (alternative), car il fait du hot reloading des fichiers html et css. Ses options sont documentées ici ▻https://www.npmjs.com/package/live-server

#web #dev #https #cert #localhost #macos

Le protocole HTTP fait l’objet d’une normalisation technique très active, les RFC qui spécifient officiellement HTTP viennent d’être publiés.

Le point avec Stéphane Bortzmeyer sur notre blog ▻https://www.afnic.fr/observatoire-ressources/papier-expert/reorganisation-des-normes-techniques-http

–----------------------------

The HTTP protocol is the subject of very active technical standardisation, the RFCs that officially define HTTP have just been published.

Stéphane Bortzmeyer explains it all on our blog ▻https://www.afnic.fr/en/observatory-and-resources/expert-papers/reorganisation-of-the-technical-standards-for-http

#afnic #web #http #rfcs #rfc

https://www.afnic.fr/wp-media/uploads/2022/01/nouveau-types-DNS-1536x354.png

☑️ Quels sont les nouveaux types DNS pour davantage d’informations pour les logiciels client ?

➡️ La réponse avec notre expert Stéphane Bortzmeyer ▻https://www.afnic.fr/observatoire-ressources/papier-expert/de-nouveaux-types-dns-pour-davantage-dinformations-pour-les-logiciels-client

–---------------------------------

☑️ What are the new DNS record types to give more information for client applications ?

➡️ The answer with our expert Stéphane Bortzmeyer ▻https://www.afnic.fr/en/observatory-and-resources/expert-papers/new-dns-record-types-to-give-more-information-for-client-applications

#Afnic #SVCB #HTTPS #Internet #Web #DNS

HTTP/3 is Fast. HTTP/3 is here, and it’s a big deal for… | by Todd H. Gardner | Request Metrics | Nov, 2021 | Medium
▻https://medium.com/request-metrics/http-3-is-fast-dc7f8871df6

Tests commentés de performances HTTP/3 vs HTTP/2 pour 3 types de pages web.

#HTTP/3 #QUIC #0-RTT

Do Not Confuse Web Application #firewall and Next-Generation Firewall
▻https://hownot2code.com/2021/10/28/do-not-confuse-web-application-firewall-and-next-generation-firewall

GUEST POST Author David Balaban Some information security specialists confuse the concepts of #WAF and #ngfw. Moreover, even some representatives of companies manufacturing products positioned as NGFW commit this fault. “We have an NGFW, do we need a WAF?” or “Why do we need WAF?” are very common questions. This calls for figuring out the … Continue reading Do Not Confuse Web Application Firewall and Next-Generation Firewall

#Tips_and_tricks #HTTP #OWASP #OWASP_API
►https://1.gravatar.com/avatar/a7fa0bb4ebff5650d2c83cb2596ad2aa?s=96&d=identicon&r=G

Connaitre les impacts de QUIC sur les réseaux, une conférence présentée par Isabelle Hamchaoui et Alexandre Ferrieux, ingénieurs-chercheurs Orange Labs, mardi prochain lors de la Journée du Conseil scientifique de l’Afnic 2021.

Inscriptions sur ►https://evenements.afnic.fr/Site/176205/7477/Event

#Internet #HTTP #Afnic #OrangeLabs #JCSA21 #QUIC

La 10ème édition de la Journée du Conseil scientifique de l’Afnic se déroulera le 31 aout ! Programme et inscriptions sur ▻https://www.afnic.fr/observatoire-ressources/agenda/jcsa21-journee-du-conseil-scientifique-de-lafnic

#Afnic #JCSA21 #QUIC #DNS #HTTP

Le protocole de transport QUIC est désormais normalisé. Explications par Stéphane Bortzmeyer de ce qui pourrait, à terme, remplacer une grande partie des usages de TCP ▻https://www.afnic.fr/observatoire-ressources/papier-expert/le-protocole-de-transport-quic-est-desormais-normalise

The QUIC transport protocol has now been standardised. Here are more details by Stéphane Bortzmeyer on what could replace many of the uses of TCP ▻https://www.afnic.fr/en/observatory-and-resources/expert-papers/the-quic-transport-protocol-has-now-been-standardised

#Web #Internet #TCP #DNS #QUIC #TLS #HTTP

Les quatre #RFC sur le protocole de transport #QUIC viennent d’être publiés. Ce nouveau protocole de transport, concurrent de #TCP, pourrait bien devenir le transport majoritaire sur l’Internet, notamment via son utilisation dans la nouvelle version de #HTTP, HTTP/3.

Il utilise systématiquement le #chiffrement, et chiffre même des parties du dialogue qui restaient en clair quand on utilisait #TLS sur TCP.

▻https://www.bortzmeyer.org/quic.html

#Apache #redirect www to non-www and HTTP to HTTPS — Simone Carletti
▻https://simonecarletti.com/blog/2016/08/redirect-domain-http-https-www-apache

ping @jeanmarie je crois que j’ai retrouvé ta source :p

#rewrite #htaccess

Utiliser Fetch - Référence Web API | MDN
▻https://developer.mozilla.org/fr/docs/Web/API/Fetch_API/Using_Fetch

L’API Fetch fournit une interface JavaScript pour l’accès et la manipulation des parties de la pipeline HTTP, comme les requêtes et les réponses. Cela fournit aussi une méthode globale fetch() qui procure un moyen facile et logique de récupérer des ressources à travers le réseau de manière asynchrone.
Ce genre de fonctionnalité était auparavant réalisé avec XMLHttpRequest. Fetch fournit une meilleure alternative qui peut être utilisée facilement par d’autres technologies comme Service Workers. Fetch fournit aussi un endroit unique et logique pour la définition d’autres concepts liés à HTTP comme CORS et les extensions d’HTTP.

#fetch #javascript #httpRequest #asynchrone

obynio/certbot-plugin-gandi : Certbot plugin for authentication using Gandi LiveDNS
▻https://github.com/obynio/certbot-plugin-gandi

Plugin Certbot pour les challenges DNS chez Gandi. Devrait fonctionner pour les certificats wildcard. Fourni aussi le cron « qui va bien » pour le renouvellement automatique

#https #certbot #dns #Gandi #challenge #wildcard

En-tête HTTP X-Robots-Tag
▻http://robots-txt.com/x-robots-tag

les en-têtes HTTP X-Robots-Tag pour empêcher l’indexation de pages web
(pour vérification de ces en-têtes, cf l’extension Firefox ▻https://addons.mozilla.org/fr/firefox/addon/http-header-spy par ex)

#http_header #htaccess #X-Robots-Tag #indexation

A lot of recent articles about the #DoH (#DNS over #HTTPS) security protocol. Read carefully, there is a lot of bad faith, too.

A set of Internet actors wrote to the US congress to complain that activation of DoH by Google may deprive them of the spying and manipulation they’re used to ▻https://www.ncta.com/sites/default/files/2019-09/Final%20DOH%20LETTER%209-19-19.pdf

Summary of the issue in the Wall Street Journal ▻https://www.wsj.com/articles/google-draws-house-antitrust-scrutiny-of-internet-protocol-11569765637 (paywall, note how the Akamai spokeperson clearly states that they monitor DNS requests and want to continue to do so).

▻https://arstechnica.com/tech-policy/2019/09/isps-worry-a-new-chrome-feature-will-stop-them-from-spying-on-you (one of the few articles that do not copy blindly the discourse of the Internet operators and ISPs)

▻https://www.cnet.com/news/google-reportedly-under-antitrust-scrutiny-for-new-internet-protocol (based on the Wall Street Journal article, with a nice addition “cable and wireless companies being cut off from much of users’ valuable DNS surfing data”, which spills the beans.)

▻https://www.eff.org/deeplinks/2019/09/encrypted-dns-could-help-close-biggest-privacy-gap-internet-why-are-some-groups (#EFF opinion, with a strange idea “EFF is calling for widespread deployment of DNS over HTTPS support by Internet service providers themselves”, so asking DoH support by the very entities that you do not fully trust.)

#privacy

Sécurité : Contrebande de #HTTP, Apache Traffic Server
▻https://makina-corpus.com/blog/metier/2018/securite-contrebande-de-http-apache-traffic-server

Détails de la CVE CVE-2018-8004 (Août 2018 - Apache Traffic Server).

#Sécurité #News_Item

How to Enable DNS-over-HTTPS (DoH) in Mozilla Firefox
▻https://www.trishtech.com/2018/08/how-to-enable-dns-over-https-doh-in-mozilla-firefox

https://www.trishtech.com/wp/wp-content/uploads/2013/09/firefox-logo.jpg

How to Enable DNS-over-HTTPS (DoH) in Mozilla Firefox

Posted onAugust 8, 2018AuthorTrishaLeave a comment

When you visit a website, the web browser first translates the domain name (such as yahoo.com) to the IP address using the DNS server configured in your operating system. We actually offer a free tool Public DNS Server Tool that helps you quickly configure your Windows system to use one of the publicly available DNS servers.

But now Firefox browser (starting from version 62) has come up with a new feature called Trusted Recursive Resolver (TRR) which sets Firefox to use a secure DNS server of its own. For this feature, all the DNS resolution requests are sent over HTTPS and this is why only a DNS over HTTPS (DoH) complaint server can be used for this feature.

Here is how you can enable DoH in Firefox browser:

Type about:config in the address bar and press Enter.
When warning appears, click on the I accept the risk button.
In the search box type trr to find the settings we want.

#dns #DoH #dnsoverhttps #https

How to enable #HTTP/2 support in #Apache

Starting from Apache 2.4.27, the Apache MPM (Multi-Processing Module) prefork no longer supports HTTP/2.To fix this, select a different MPM: event or worker. We highly recommend you to use the event prefork.
If you are using PHP, it is likely that PHP is integrated to Apache via the mod_php module, which requires the prefork MPM. If you switch out from preform MPM, you will need to use PHP as FastCGI. To switch to php-fpm, you can do as folllwing.

▻https://http2.pro/doc/Apache#prefork-http2
▻https://httpd.apache.org/docs/2.4/fr/howto/http2.html#mpm-config

Sur debian stretch ça donne ça (si on avait activé mpm_prefork alors que mpm_event est bien celui proposé par défaut) :

#http2 #mpm_event #php-fpm

Contrebande de #HTTP (HTTP Smuggling) : Jetty
▻https://makina-corpus.com/blog/metier/2019/contrebande-de-http-http-smuggling-jetty

Détails des failles CVE-2017-7658, CVE-2017-7657 et CVE-2017-7656 (failles publiées le 2018-06-27)

#Security #News_Item

Top 5 réducteurs de liens pour raccourcir vos URLs
▻http://ton-hebergement-gratuit.com/top-5-des-reducteurs-de-liens

http://ton-hebergement-gratuit.com/wp-content/uploads/2019/03/http-2.jpg

Guzzle, PHP HTTP client — Guzzle Documentation
▻http://docs.guzzlephp.org/en/stable

Guzzle is a PHP HTTP client that makes it easy to send HTTP requests and trivial to integrate with web services.
– Simple interface for building query strings, POST requests, streaming large uploads, streaming large downloads, using HTTP cookies, uploading JSON data, etc...
– Can send both synchronous and asynchronous requests using the same interface.
– Abstracts away the underlying HTTP transport, allowing you to write environment and transport agnostic code; i.e., no hard dependency on cURL, PHP streams, sockets, or non-blocking event loops.

(en relation avec le ticket ▻https://core.spip.net/issues/3973 de SPIP)

#guzzle #PHP #HTTP #API #curl #SPIP

What are HTTP cookies?
▻https://hackernoon.com/what-are-http-cookies-91359fd798b2?source=rss----3a8144eabfe3---4

https://cdn-images-1.medium.com/max/1000/1*U5Z-NNCeXVx3knzk2MWmxA.jpeg

Open your wallet. See a cookie in there? I do.Cookies are a way for a website to store information in your browser.gift idea for the web enthusiast in your lifeCookies in my wallet?? ?Yes, your ID is like a cookie! ?The government (issuer) provides an ID (cookie) that you store in your wallet (web browser’s storage) and take with you everywhere you go (the world is your web browser/oyster).Your ID can be used to board an airplane (request): the TSA agent will verify the validity of your ID to ensure it was provided by the government (issuer) and wasn’t forged or altered (authorization tokens are verified for validity/alteration as well). They’ll ensure you match the picture in the ID and that the name matches the ticket (authentication — “who you are”), if there are no issues you’ll be allowed (...)

#http-cookie #browsers #what-are-http-cookies #javascript #what-are-cookies

Comprendre HTTP3 en 5 minutes - Je suis un dev
▻https://www.jesuisundev.com/comprendre-http3-en-5-minutes

Présentation simple et rapide d’HTTP/3

#http3 #http2 #UDP #TCP #protocole #QUIC

Standardizing HTTP API testing
▻https://hackernoon.com/standardizing-http-api-testing-cc7e513d4823?source=rss----3a8144eabfe3--

https://cdn-images-1.medium.com/max/1024/0*3HWqx0wUjJalpfEk.jpg

This blog post is actually a draft for a standard operating procedure for my software development and consulting business. I’ve come across the task of writing tests for HTTP APIs for three or four times in the last couple of months. I’ve tried multiple ways of writing automated tests and this is the method I’ve converged on. #typescript, #jest, and supertest appear to work well together and are sufficient to implement concise tests.Background and the need for standardizationYears ago most of my programming for the web was limited to PHP. Tests on those project were done by using PHPUnit and Guzzle. Later we also used Behat for more readable tests. After Docker became popular the PHP monolith evolved into an application built with multiple programming languages. Some small services are now (...)

#javascript #rest-api-testing #http-request