Project

General

Profile

Evolution #4243

[Ajout de l'entête "Connection: close" dans l'écran de sécurité] : ne pas faire bénéficier du keep-alive aux éventuelles attaquant.

Added by Guillaume Fahrner over 2 years ago. Updated about 2 months ago.

Status:
Fermé
Priority:
Haut
Assignee:
-
Category:
-
Target version:
Start date:
12/10/2018
Due date:
% Done:

0%

Resolution:
fixed

Description

Tout est dans le titre. L'idée est toujours la même : couper la connexion TCP lorsque qu'une erreur (503 ici) est rencontré. On évite ainsi de faire bénéficier du keep-alive un attaquant et on le fait "tomber" plus rapidement dans les règles de protection du FW (obligation de faire une 1 connection TCP par requête en erreur).

NB : nginx ne ferme pas la connection si PHP renvoi cet entête (il suffit de définir des pages d'erreur personnalisé associées à une location définissant un keep-alive-timeout a 0)

History

#1 Updated by b b about 2 years ago

  • Status changed from Nouveau to En cours

La modification semble simple, tu peux fournir un patch pour relecture stp ?

#2 Updated by cedric - 2 months ago

  • Target version set to 3.3

#3 Updated by b b 2 months ago

Le patch tout simple :

diff --git a/ecran_securite.php b/ecran_securite.php
index dfb02bb..4ae6417 100644
--- a/ecran_securite.php
+++ b/ecran_securite.php
@@ -643,6 +643,7 @@ if (isset($ecran_securite_raison)) {
     header("Cache-Control: no-cache, must-revalidate");
     header("Pragma: no-cache");
     header("Content-Type: text/html");
+    header("Connection: close");

 }

Est-ce qu'on envoie aussi l'entête en cas de dépassement du load ? (je pense que oui, mais dans le doute...)

#6 Updated by cedric - about 2 months ago

  • Status changed from En cours to Fermé
  • Resolution set to fixed

Also available in: Atom PDF