Mon problème vient vraissemblablement de Internet Explorer mais il me
pose des problèmes de sécurité. C'est pour cela que je vous en fait part
en espérant ne être trop "hors sujet".
Je suis sous Windows 2000 et XP, j'ai paramétré IE 5 et IE 6 pour passer
par un proxy, qui se trouve sur une machine distincte sur mon réseau,
sur le port 8080. Ces paramêtres ont été bien vérifié, J'ai bien
renseigné dans les options onglet "Connexion" -> "paramètre réseau" ->
"Serveur proxy" et "Avancé..."
Le résultat est le même que je coche la case "Utiliser le même proxy
pour tous le protocoles" ou que je les rentre un par un aprés avoir
décoché cette case.
Lorsque je surf (HTTP) tout fonctionne normalement c'est à dire que mon
explorateur IE envoie bien ses paquets au port 8080 de mon proxy.
En revanche si je fais du ftp avec cet explorateur, en analysant les
flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le
port 8080 du proxy mais directement sur le port ftp (21) du serveur distant.
J'ai fait les tests sous Windows 2000 et XP avec IE5 et IE6. J'ai essayé
avec 2 proxy : ISA et squid. Mais le pb vient bien de IE.
J'ai fait le même test avec netscape, et là tout fonctionne
normalement.Tous les flux de mon navigateur passe par le proxy sur le
port 8080. Que je fasse du HTTP ou du FTP.
Je précise que ce problème n'empêche pas le fonctionnement du FTP avec
IE, mais au niveau de la sécurité il y a là une faille.
Quelqu'un a t'il une solution, ou déjà remarqué ce problème ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Razny
"BLL" a écrit dans le message de news:
Mon problème vient vraissemblablement de Internet Explorer mais il me pose des problèmes de sécurité. C'est pour cela que je vous en fait part en espérant ne être trop "hors sujet".
Si c'est du paramétrage IE, si! Mais la suite montre que non...
passer par un proxy, qui se trouve sur une machine distincte sur mon réseau,
Je suppose même segment? C'est "mal"! voir plus bas.
En revanche si je fais du ftp avec cet explorateur, en analysant les flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le port 8080 du proxy mais directement sur le port ftp (21) du serveur distant.
J'ai fait les tests sous Windows 2000 et XP avec IE5 et IE6. J'ai essayé avec 2 proxy : ISA et squid. Mais le pb vient bien de IE.
Désolé pour le paramètrage, mais je n'ai pas XP! Et je n'utilise pas trop IE.
J'ai fait le même test avec netscape, et là tout fonctionne normalement.Tous les flux de mon navigateur passe par le proxy sur le port 8080. Que je fasse du HTTP ou du FTP.
Je serais tenté de dire : alors utilisez un autre browser qu'IE :)
Je précise que ce problème n'empêche pas le fonctionnement du FTP avec IE, mais au niveau de la sécurité il y a là une faille.
C'est très clairement là que ta question concerne ce groupe. Il est complètement illusoire de supposer une quelconque sécurité (celle que tu suppose apportée par squid) si n'importe qui peut sortir en contournant ton proxy!!! Puisque tu fais directement du ftp c'est que quelque chose ne va pas dans ton architecture.
Ca m'est arrivé dans une boite (et malheureusement avec un admin reseau :( ) : j'avais oublié un outil (honte à moi) et impossible de télécharger un soft en http (ou ftp via IE) et pas de client ftp windows. Un simple ftp en ligne de commande et c'est passé :((
En complément va faire un tour sur : http://www.arp-sk.org/
et tu comprendra vite pourquoi un proxy ne devrait pas être sur ton même segment. Même si tu mets derrière un FW qui vérifie l'adresse MAC du proxy pour autoriser les sorties, il suffit de paramêtrer l'adresse MAC de sa carte après avoir "flingué" le proxy.
Eric.
PS : désolé ça ne répond pas directement à ta question mais je pense que c'est important.
"BLL" <arielle9itsNOSPAM@tiscali.fr> a écrit dans le message de
news:3F7D33A8.9000504@tiscali.fr...
Mon problème vient vraissemblablement de Internet Explorer mais il me
pose des problèmes de sécurité. C'est pour cela que je vous en fait part
en espérant ne être trop "hors sujet".
Si c'est du paramétrage IE, si!
Mais la suite montre que non...
passer par un proxy, qui se trouve sur
une machine distincte sur mon réseau,
Je suppose même segment? C'est "mal"! voir plus bas.
En revanche si je fais du ftp avec cet explorateur, en analysant les
flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le
port 8080 du proxy mais directement sur le port ftp (21) du serveur
distant.
J'ai fait les tests sous Windows 2000 et XP avec IE5 et IE6. J'ai essayé
avec 2 proxy : ISA et squid. Mais le pb vient bien de IE.
Désolé pour le paramètrage, mais je n'ai pas XP! Et je n'utilise pas trop
IE.
J'ai fait le même test avec netscape, et là tout fonctionne
normalement.Tous les flux de mon navigateur passe par le proxy sur le
port 8080. Que je fasse du HTTP ou du FTP.
Je serais tenté de dire : alors utilisez un autre browser qu'IE :)
Je précise que ce problème n'empêche pas le fonctionnement du FTP avec
IE, mais au niveau de la sécurité il y a là une faille.
C'est très clairement là que ta question concerne ce groupe.
Il est complètement illusoire de supposer une quelconque sécurité (celle que
tu suppose apportée par squid) si n'importe qui peut sortir en contournant
ton proxy!!!
Puisque tu fais directement du ftp c'est que quelque chose ne va pas dans
ton architecture.
Ca m'est arrivé dans une boite (et malheureusement avec un admin reseau
:( ) : j'avais oublié un outil (honte à moi) et impossible de télécharger
un soft en http (ou ftp via IE) et pas de client ftp windows. Un simple ftp
en ligne de commande et c'est passé :((
En complément va faire un tour sur :
http://www.arp-sk.org/
et tu comprendra vite pourquoi un proxy ne devrait pas être sur ton même
segment.
Même si tu mets derrière un FW qui vérifie l'adresse MAC du proxy pour
autoriser les sorties, il suffit de paramêtrer l'adresse MAC de sa carte
après avoir "flingué" le proxy.
Eric.
PS : désolé ça ne répond pas directement à ta question mais je pense que
c'est important.
Mon problème vient vraissemblablement de Internet Explorer mais il me pose des problèmes de sécurité. C'est pour cela que je vous en fait part en espérant ne être trop "hors sujet".
Si c'est du paramétrage IE, si! Mais la suite montre que non...
passer par un proxy, qui se trouve sur une machine distincte sur mon réseau,
Je suppose même segment? C'est "mal"! voir plus bas.
En revanche si je fais du ftp avec cet explorateur, en analysant les flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le port 8080 du proxy mais directement sur le port ftp (21) du serveur distant.
J'ai fait les tests sous Windows 2000 et XP avec IE5 et IE6. J'ai essayé avec 2 proxy : ISA et squid. Mais le pb vient bien de IE.
Désolé pour le paramètrage, mais je n'ai pas XP! Et je n'utilise pas trop IE.
J'ai fait le même test avec netscape, et là tout fonctionne normalement.Tous les flux de mon navigateur passe par le proxy sur le port 8080. Que je fasse du HTTP ou du FTP.
Je serais tenté de dire : alors utilisez un autre browser qu'IE :)
Je précise que ce problème n'empêche pas le fonctionnement du FTP avec IE, mais au niveau de la sécurité il y a là une faille.
C'est très clairement là que ta question concerne ce groupe. Il est complètement illusoire de supposer une quelconque sécurité (celle que tu suppose apportée par squid) si n'importe qui peut sortir en contournant ton proxy!!! Puisque tu fais directement du ftp c'est que quelque chose ne va pas dans ton architecture.
Ca m'est arrivé dans une boite (et malheureusement avec un admin reseau :( ) : j'avais oublié un outil (honte à moi) et impossible de télécharger un soft en http (ou ftp via IE) et pas de client ftp windows. Un simple ftp en ligne de commande et c'est passé :((
En complément va faire un tour sur : http://www.arp-sk.org/
et tu comprendra vite pourquoi un proxy ne devrait pas être sur ton même segment. Même si tu mets derrière un FW qui vérifie l'adresse MAC du proxy pour autoriser les sorties, il suffit de paramêtrer l'adresse MAC de sa carte après avoir "flingué" le proxy.
Eric.
PS : désolé ça ne répond pas directement à ta question mais je pense que c'est important.
tchelaviek
Lorsque je surf (HTTP) tout fonctionne normalement c'est à dire que mon explorateur IE envoie bien ses paquets au port 8080 de mon proxy.
En revanche si je fais du ftp avec cet explorateur, en analysant les flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le port 8080 du proxy mais directement sur le port ftp (21) du serveur distant.
Version résumée : Outils->Options Internet->Avancées->[Dés]Activer l'affichage dossier pour les sites FTP
Version détaillée : <http://www.squid-cache.org/mail-archive/squid-users/200004/0054.html>
Euh... mais si tu touche à ça, je suis obligé de te passer une autre URL, et c'est pas pour redémarrer sur les wildcards DNS :-> <http://lists.insecure.org/lists/fulldisclosure/2003/Jun/0072.html>
PS: tu peux aussi éviter de lire tout ça et virer le sakabugs (tm) pour gagner du temps...
-- ^ ^ 0 0 le mamousse
T <
Lorsque je surf (HTTP) tout fonctionne normalement c'est à dire que mon
explorateur IE envoie bien ses paquets au port 8080 de mon proxy.
En revanche si je fais du ftp avec cet explorateur, en analysant les
flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le
port 8080 du proxy mais directement sur le port ftp (21) du serveur
distant.
Version résumée :
Outils->Options Internet->Avancées->[Dés]Activer l'affichage dossier
pour les sites FTP
Version détaillée :
<http://www.squid-cache.org/mail-archive/squid-users/200004/0054.html>
Euh... mais si tu touche à ça, je suis obligé de te passer une autre
URL, et c'est pas pour redémarrer sur les wildcards DNS :->
<http://lists.insecure.org/lists/fulldisclosure/2003/Jun/0072.html>
PS: tu peux aussi éviter de lire tout ça et virer le sakabugs (tm) pour
gagner du temps...
Lorsque je surf (HTTP) tout fonctionne normalement c'est à dire que mon explorateur IE envoie bien ses paquets au port 8080 de mon proxy.
En revanche si je fais du ftp avec cet explorateur, en analysant les flux, je me suis rendu compte que ces flux n'étaient plus envoyés sur le port 8080 du proxy mais directement sur le port ftp (21) du serveur distant.
Version résumée : Outils->Options Internet->Avancées->[Dés]Activer l'affichage dossier pour les sites FTP
Version détaillée : <http://www.squid-cache.org/mail-archive/squid-users/200004/0054.html>
Euh... mais si tu touche à ça, je suis obligé de te passer une autre URL, et c'est pas pour redémarrer sur les wildcards DNS :-> <http://lists.insecure.org/lists/fulldisclosure/2003/Jun/0072.html>
PS: tu peux aussi éviter de lire tout ça et virer le sakabugs (tm) pour gagner du temps...
