Commentaires sur : Tomcat, SSL, communications sécurisées et X-Forwarded-Proto http://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/ J2EE, Agilité et SOA Fri, 10 Feb 2012 09:50:25 +0000 hourly 1 http://wordpress.org/?v= Par : Andrew Swansonhttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-50032 Andrew Swanson Wed, 20 Apr 2011 00:43:44 +0000 http://blog.xebia.fr/?p=3092#comment-50032 Cyrille - No problem. I will take this up with the Tomcat folks. Thanks for your time. Andrew Cyrille –

No problem. I will take this up with the Tomcat folks. Thanks for your time.

Andrew

]]> Par : Cyrille Le Clerchttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-48722 Cyrille Le Clerc Sun, 10 Apr 2011 20:23:04 +0000 http://blog.xebia.fr/?p=3092#comment-48722 Hello Andrew, I am sorry but I didn't have the time to work on this as I would have liked and I will not have the time during the next months. Can you continue this discussion on the <a href="http://tomcat.apache.org/lists.html#tomcat-users" rel="nofollow">tomcat-users mailing list</a> as the RemoteIpValve is now a mature part of Tomcat. I hope you will find people interested in developing such extension. Cyrille Hello Andrew,

I am sorry but I didn’t have the time to work on this as I would have liked and I will not have the time during the next months.

Can you continue this discussion on the tomcat-users mailing list as the RemoteIpValve is now a mature part of Tomcat.

I hope you will find people interested in developing such extension.

Cyrille

]]> Par : Andrew Swansonhttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-47959 Andrew Swanson Thu, 07 Apr 2011 19:00:21 +0000 http://blog.xebia.fr/?p=3092#comment-47959 Cyrille - Apologies for the English! Back in November 2010 we had a discussion about an enhancement to the Tomcat RemoteIpValve (http://www.coderanch.com/t/445496/Tomcat/request-getRemoteAddr). It went like this: ========================================================================= Andrew Swanson wrote: I am using the RemoteIpValve to correctly set request.isSecure and request.scheme but I am using the "ProxyPreserveHost" Apache httpd directive so that request.serverHost and request.serverPort are correctly set in Tomcat. Is there anyway to prevent RemoteIpValve from populating the request.serverPort when it detects the presence of the $protocolHeader http header? Cyrille Le Clerc wrote:Hello Andrew, You are right, RemoteIpValve (and RemoteIpFilter) currently override the serverPort when you specify a protocol header (e.g. x-forwarded-proto). Would you like to add a boolean configuration option override-http-server-port-with-protocol-information to disable this behavior for your use case ? Thanks for your interest in RemoteIpValve, Cyrille Andrew Swanson wrote: Yes, something like that would be most helpful. ========================================================================= Has this change made it into Tomcat? If so, what version? If not, are there any plans to add it? Thanks for your time. Andrew Swanson Caterpillar Inc. Cyrille –

Apologies for the English!

Back in November 2010 we had a discussion about an enhancement to the Tomcat RemoteIpValve (http://www.coderanch.com/t/445496/Tomcat/request-getRemoteAddr). It went like this:
=========================================================================

Andrew Swanson wrote:
I am using the RemoteIpValve to correctly set request.isSecure and request.scheme but I am using the « ProxyPreserveHost » Apache httpd directive so that request.serverHost and request.serverPort are correctly set in Tomcat. Is there anyway to prevent RemoteIpValve from populating the request.serverPort when it detects the presence of the $protocolHeader http header?

Cyrille Le Clerc wrote:Hello Andrew,

You are right, RemoteIpValve (and RemoteIpFilter) currently override the serverPort when you specify a protocol header (e.g. x-forwarded-proto). Would you like to add a boolean configuration option override-http-server-port-with-protocol-information to disable this behavior for your use case ?

Thanks for your interest in RemoteIpValve,

Cyrille

Andrew Swanson wrote:
Yes, something like that would be most helpful.
=========================================================================

Has this change made it into Tomcat? If so, what version? If not, are there any plans to add it?

Thanks for your time.

Andrew Swanson
Caterpillar Inc.

]]> Par : Big faille de sécurité sur Apache | Actualité Informatique et Internethttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-22381 Big faille de sécurité sur Apache | Actualité Informatique et Internet Tue, 09 Mar 2010 13:28:51 +0000 http://blog.xebia.fr/?p=3092#comment-22381 [...] Tomcat, SSL, communications sécurisées et X-Forwarded-Proto | Blog … [...] [...] Tomcat, SSL, communications sécurisées et X-Forwarded-Proto | Blog … [...]

]]> Par : Cyrille Le Clerchttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-20515 Cyrille Le Clerc Sun, 31 Jan 2010 21:45:26 +0000 http://blog.xebia.fr/?p=3092#comment-20515 La version 1.0.2 de xebia-servlet-extras a été publiée pour corriger <a href="http://code.google.com/p/xebia-france/issues/detail?id=4" rel="nofollow">Issue 4: XForwardedFilter : request.secure and request.scheme are not forced to "false" and "http" if X-Forwarded-Proto=http</a>. La version 1.0.2 de xebia-servlet-extras a été publiée pour corriger Issue 4: XForwardedFilter : request.secure and request.scheme are not forced to « false » and « http » if X-Forwarded-Proto=http.

]]> Par : Cyrille Le Clerchttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-18382 Cyrille Le Clerc Mon, 14 Dec 2009 23:30:01 +0000 http://blog.xebia.fr/?p=3092#comment-18382 @Nicolas, Merci encore, la correction est appliquée : <a href="http://svn.apache.org/viewvc?view=revision&revision=890483" rel="nofollow">Commit 890483 : Make configuration attributes consistent between Filter and Valves</a>, le paramètre de configuration s'appelle désormais <code>protocolHeaderHttpsValue</code>. Cyrille (Xebia) @Nicolas,

Merci encore, la correction est appliquée : Commit 890483 : Make configuration attributes consistent between Filter and Valves, le paramètre de configuration s’appelle désormais protocolHeaderHttpsValue.

Cyrille (Xebia)

]]> Par : Cyrille Le Clerchttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-18358 Cyrille Le Clerc Mon, 14 Dec 2009 18:30:44 +0000 http://blog.xebia.fr/?p=3092#comment-18358 Merci Nicolas, Ce sera <a href="https://issues.apache.org/bugzilla/show_bug.cgi?id=48387" rel="nofollow"> Bug 48387 - Make RemoteIpFilter parameters consistent with RemoteIpValve</a>. Cyrille (Xebia) Merci Nicolas,

Ce sera Bug 48387 – Make RemoteIpFilter parameters consistent with RemoteIpValve.

Cyrille (Xebia)

]]> Par : Nicolashttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-18231 Nicolas Fri, 11 Dec 2009 20:29:26 +0000 http://blog.xebia.fr/?p=3092#comment-18231 J'en profite pour signaler une erreur dans ce qui a été commité chez Tomcat : http://svn.apache.org/repos/asf/tomcat/trunk/java/org/apache/catalina/filters/RemoteIpFilter.java La JavaDoc dit : protocolHeaderHttpsValue: Value of the protocolHeader to indicate that it is an Https request Le code source dit autre chose : protected static final String PROTOCOL_HEADER_SSL_VALUE_PARAMETER = "protocolHeaderSslValue"; Quoi qu'il en soit, merci pour le code de ce filter, il m'est bien utile. J’en profite pour signaler une erreur dans ce qui a été commité chez Tomcat :
http://svn.apache.org/repos/asf/tomcat/trunk/java/org/apache/catalina/filters/RemoteIpFilter.java

La JavaDoc dit :
protocolHeaderHttpsValue: Value of the protocolHeader to indicate that it is an Https request

Le code source dit autre chose :
protected static final String PROTOCOL_HEADER_SSL_VALUE_PARAMETER = « protocolHeaderSslValue »;

Quoi qu’il en soit, merci pour le code de ce filter, il m’est bien utile.

]]> Par : Cyrille Le Clerchttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-18214 Cyrille Le Clerc Fri, 11 Dec 2009 11:18:31 +0000 http://blog.xebia.fr/?p=3092#comment-18214 Merci pour ce complément Nicolas, Je trouve amusant que Squid ait été l'<em>inventeur</em> du header <a href="http://en.wikipedia.org/wiki/X-Forwarded-For" rel="nofollow"><code>X-Forwarded-For</code></a> et qu'en revanche, ils aient oublié le header <code>X-Forwarded-Proto</code> au point ne ne pas le voir et d'intégrer son équivalent <a href="http://www.visolve.com/squid/squid30/neighboursel.php" rel="nofollow"><code>FRONT_END_HTTPS</code></a> utilisé par Microsoft Outlook Web Access (OWA) :-). Cyrille (Xebia) Merci pour ce complément Nicolas,

Je trouve amusant que Squid ait été l’inventeur du header X-Forwarded-For et qu’en revanche, ils aient oublié le header X-Forwarded-Proto au point ne ne pas le voir et d’intégrer son équivalent FRONT_END_HTTPS utilisé par Microsoft Outlook Web Access (OWA) :-) .

Cyrille (Xebia)

]]> Par : Nicolashttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-18211 Nicolas Fri, 11 Dec 2009 09:54:54 +0000 http://blog.xebia.fr/?p=3092#comment-18211 Si on utilise Squid 3 comme frontal à la place de Apache Mod-Proxy, il est très difficile d'appliquer la solution du X-Fowarded-Proto, car squid ne peut pas facilement ajouter des headers. Par contre, la solution est d'ajouter au niveau du cache_peer la directive front-end-https : cache_peer localhost parent 8080 0 no-query originserver login=PASS name=tomcat_peer front-end-https=auto Cela aura pour effet d'ajouter un header FRONT_END_HTTPS = On si la requete est en https coté squid, et pas de header dans le cas http. Il ne reste plus qu'a adapter ensuite le XForwardedFilter ou bien la configuration du serveur Java pour prendre en compte ce header au lieu de X-Forwarded-Proto. Si on utilise Squid 3 comme frontal à la place de Apache Mod-Proxy, il est très difficile d’appliquer la solution du X-Fowarded-Proto, car squid ne peut pas facilement ajouter des headers.

Par contre, la solution est d’ajouter au niveau du cache_peer la directive front-end-https :

cache_peer localhost parent 8080 0 no-query originserver login=PASS name=tomcat_peer front-end-https=auto

Cela aura pour effet d’ajouter un header
FRONT_END_HTTPS = On
si la requete est en https coté squid, et pas de header dans le cas http.

Il ne reste plus qu’a adapter ensuite le XForwardedFilter ou bien la configuration du serveur Java pour prendre en compte ce header au lieu de X-Forwarded-Proto.

]]> Par : Rediriger le port 8080 de Tomcat vers le port 80 d’Apache 2 avec un sous-domaine – 5 Fresh Minutes IT – Java & IThttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-16906 Rediriger le port 8080 de Tomcat vers le port 80 d’Apache 2 avec un sous-domaine – 5 Fresh Minutes IT – Java & IT Sun, 15 Nov 2009 17:01:56 +0000 http://blog.xebia.fr/?p=3092#comment-16906 [...] Tomcat, SSL, communications sécurisées et X-Forwarded-Proto (Blog de Xebia qui préfère mod_proxy_http à AJP: le protocole AJP n’est pas aussi répandu que HTTP) [...] [...] Tomcat, SSL, communications sécurisées et X-Forwarded-Proto (Blog de Xebia qui préfère mod_proxy_http à AJP: le protocole AJP n’est pas aussi répandu que HTTP) [...]

]]> Par : Cyrille Le Clerchttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-16839 Cyrille Le Clerc Fri, 13 Nov 2009 23:14:02 +0000 http://blog.xebia.fr/?p=3092#comment-16839 Bonjour Eric, Nous sommes d'accord. lorsqu'un serveur Apache Httpd est en amont du serveur Tomcat, on peut se permettre de faire écouter le serveur Tomcat sur des ports supérieurs à 1024 (e.g. 8080) ; il n'y a alors pas de problème d'écoute sur les ports 80 et 443 qui requièrent de s'exécuter en <em>root</em>. Notre point porte sur un serveur Tomcat seul, sans Apache Httpd en frontal. Faire écouter un serveur sur les ports <1024 comme 80 et 443 requiert de démarrer le processus en <em>root</em>. Cependant, à la différence d'Apache Httpd qui sait <a href="http://httpd.apache.org/docs/2.2/misc/security_tips.html#serverroot" rel="nofollow">changer de user après son démarrage en <em>root</em></a> pour restreindre ses privilèges, une JVM (Tomcat mais également Glassfish, JBoss, WebSphere, Weblogic, etc) ne sait pas changer de user et devrait donc s'exécuter en <em>root</em>. Comme il est le plus souvent incompatible avec les règles de sécurité de s'exécuter en <em>root</em>, nous avons proposé l'astuce <em>iptables</em>. Cyrille (Xebia) Bonjour Eric,

Nous sommes d’accord. lorsqu’un serveur Apache Httpd est en amont du serveur Tomcat, on peut se permettre de faire écouter le serveur Tomcat sur des ports supérieurs à 1024 (e.g. 8080) ; il n’y a alors pas de problème d’écoute sur les ports 80 et 443 qui requièrent de s’exécuter en root.

Notre point porte sur un serveur Tomcat seul, sans Apache Httpd en frontal. Faire écouter un serveur sur les ports <1024 comme 80 et 443 requiert de démarrer le processus en root. Cependant, à la différence d’Apache Httpd qui sait changer de user après son démarrage en root pour restreindre ses privilèges, une JVM (Tomcat mais également Glassfish, JBoss, WebSphere, Weblogic, etc) ne sait pas changer de user et devrait donc s’exécuter en root.
Comme il est le plus souvent incompatible avec les règles de sécurité de s’exécuter en root, nous avons proposé l’astuce iptables.

Cyrille (Xebia)

]]> Par : Erichttp://blog.xebia.fr/2009/11/13/tomcat-ssl-communications-securisees-et-x-forwarded-proto/#comment-16828 Eric Fri, 13 Nov 2009 16:47:29 +0000 http://blog.xebia.fr/?p=3092#comment-16828 Astuce : comment éviter de démarrer le serveur Tomcat avec les privilèges root ? Il est aussi possible avec httpd.conf de faire un alias/forward de 8080 vers 80. Astuce : comment éviter de démarrer le serveur Tomcat avec les privilèges root ?

Il est aussi possible avec httpd.conf de faire un alias/forward de 8080 vers 80.

]]>