Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-07-17 03:54:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Feedproxy Google i Noscript :D

Cześć

Od kilku dni otwierając z poziomu Quiterss albo Akregatora sznurki do serwisów internetowych korzystających z feedproxy.google.com (m in niebezpiecznik.pl) zamiast strony mam w FF taki cudowny komunikat:
https://i.imgur.com/uGWPIYi.png

Co prawda Noscript raportuje, że winna jest docelowa strona, ale to Google jakieś kombinacje alpejskie robi  z JS.

Obszedłem to przez fakt, że od lat domyślną przeglądarką systemową jest  u mnie skrypt perla,
który w zależności od domeny, otwiera linki w rożnych przeglądarkach i odtwarzaczach,
np Youtube i inne serwisy video w MPV, strony w FF albo Chrome.

Obejście tego problemu z feedproxy zrobiłem tak:

Kod:

sub feedproxy {
          my $goto = $_[0] ;
      ###    print "Goto $goto\n";

        my $sznurek = WWW::Mechanize->new(autocheck => 0);
        $sznurek->max_redirect(0);
           $sznurek->default_header('Accept' => "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8", 
               'Accept-Language' => " pl-PL,pl;q=0.5",
               'Accept-Charset' => "ISO-8859-2,utf-8;q=0.7,*;q=0.7",
              'Accept-Encoding' => "gzip,deflate",
               'Connection' => "keep-alive", );
            $sznurek->get($goto);

          my $status = $sznurek->status();
          if (($status >= 300) && ($status < 400)) {
           my $location = $sznurek->response()->header('Location');
           if (defined $location) {
###           print "Redirected to $location\n\n";
          my($scheme, $authority, $path, $query, $fragment) = $location =~ m|(?:([^:/?#]+):)?(?://([^/?#]*))?([^?#]*)(?:\?([^#]*))?(?:#(.*))?|;
          my $target="$scheme\://$authority$path";
          robota($target);
           
            }
        }
};

Całość skrypta rssperl właśnie chciałem wkleić na wklej.dug.net.pl ale FF nie chce mnie tam wpuścić z powodu:

Witryna „wklej.dug.net.pl” używa nieprawidłowego certyfikatu bezpieczeństwa. Ten certyfikat utracił ważność 11 czerwca 2019, 00:08. Bieżący czas: 17 lipca 2019, 03:53. Kod błędu: SEC_ERROR_EXPIRED_CERTIFICATE

Widocznie w FAQ/Howto widocznie brakuje artykułu z zakresu praktycznego użycia CRONA. xD

Kod:

root ~# cat /etc/cron.weekly/acmecron 
#!/bin/bash
echo $$ >>/sys/fs/cgroup/net_cls/users/netout/tasks;
MYPID="$$"
echo $MYPID >>/cgroup/net_cls/users/netout/tasks;
grep netout /proc/self/cgroup 2>&1 >/dev/null || exit 1;
/etc/acme-sh/acme.sh --cron --home "/etc/acme-sh/"

Pozdro
;)

Ostatnio edytowany przez Jacekalex (2019-07-17 19:54:51)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2019-07-17 14:28:25

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Feedproxy Google i Noscript :D

Certbot (certbot-auto) dostarcza odpowiednią usługę, która właśnie poprzez Crona sprawdza ważność i automatycznie odnawia ważność certyfikatów.
https://techmonger.github.io/49/certbot-auto-renew/

Już nie pamiętam ile lat temu ostatnio ręcznie odnawiałem jakiś certyfikat.

Offline

 

#3  2019-07-17 15:14:18

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Feedproxy Google i Noscript :D

yossarian napisał(-a):

Certbot (certbot-auto) dostarcza odpowiednią usługę, która właśnie poprzez Crona sprawdza ważność i automatycznie odnawia ważność certyfikatów.
https://techmonger.github.io/49/certbot-auto-renew/

Już nie pamiętam ile lat temu ostatnio ręcznie odnawiałem jakiś certyfikat.

Certboot już nauczył się generować certy wildcard?
Bo jak ostatnio się nim bawiłem, to jeszcze nie umiał, trzeba było zatrudnić acme.sh z dns-api.

Natomiast cert który nie obsługuje subdomen nie ma zbyt wielkiego sensu na żadnym serwerze, nawet najmniejszym.
Najlepszy dowód na DUG, gdzie DUG i forum jest na jednym cercie, a wklej już na drugim, bo na pierwszym się nie zmieścił.

Starczyłoby zrobić coś w stylu, np:

Kod:

acme.sh --issue --home /etc/acme-sh/ -d dug.net.pl -d *.dug.net.pl  --dns   dns_ovh --log

Tak wczoraj wygenerowałem certa ważnego do:

Kod:

expire date: Oct 14 16:47:26 2019 GMT

czyli na 90 dni.

odnawia się przez Crona automatycznie, choć czasem trzeba odnowić klucz Oauth2 w OVH, bo z jakiegoś tajemniczego powodu wygasa, choć teoretycznie nie powinien.

Ostatnio edytowany przez Jacekalex (2019-07-17 15:17:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2019-07-17 15:23:43

  milyges - inż.

milyges
inż.
Skąd: Gorlice/Kraków
Zarejestrowany: 2006-04-09
Serwis

Re: Feedproxy Google i Noscript :D

Cześć,

wklej nie został przeniesiony na nowy serwer przez BiExi, nie wiem jakie ma plany co do tej usługi, ale serwer na który obecnie kieruje rekord DNS będzie wyłączany/zmieniane będzie jego przeznaczenie - dlatego SSL nie jest tam już odnawiany a na dniach przestanie działać vhost od wkleja.

PS.: Nie mam dostępu do nowego serwera więc nie mogę z tym nic zrobić.

Pozdrawiam,

Offline

 

#5  2019-07-17 16:10:22

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Feedproxy Google i Noscript :D

milyges napisał(-a):

Cześć,

wklej nie został przeniesiony na nowy serwer przez BiExi, nie wiem jakie ma plany co do tej usługi, ale serwer na który obecnie kieruje rekord DNS będzie wyłączany/zmieniane będzie jego przeznaczenie - dlatego SSL nie jest tam już odnawiany a na dniach przestanie działać vhost od wkleja.

PS.: Nie mam dostępu do nowego serwera więc nie mogę z tym nic zrobić.

Pozdrawiam,

Inny serwer to akurat żaden problem, jeden cert  może brykać na pierdylionie serwerów równocześnie.

Trzeba tylko wtedy synchronizację certów do Crona wpakować, ale to nie jest wielki problem.

Ostatnio edytowany przez Jacekalex (2019-07-17 16:10:50)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2019-07-17 20:26:53

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Feedproxy Google i Noscript :D

Jacekalex napisał(-a):

Natomiast cert który nie obsługuje subdomen nie ma zbyt wielkiego sensu na żadnym serwerze, nawet najmniejszym.
Najlepszy dowód na DUG, gdzie DUG i forum jest na jednym cercie, a wklej już na drugim, bo na pierwszym się nie zmieścił.

Starczyłoby zrobić coś w stylu, np:

Kod:

acme.sh --issue --home /etc/acme-sh/ -d dug.net.pl -d *.dug.net.pl  --dns   dns_ovh --log

Tak wczoraj wygenerowałem certa ważnego do:

Kod:

expire date: Oct 14 16:47:26 2019 GMT

czyli na 90 dni.

odnawia się przez Crona automatycznie, choć czasem trzeba odnowić klucz Oauth2 w OVH, bo z jakiegoś tajemniczego powodu wygasa, choć teoretycznie nie powinien.

Letsencrypt obsługuje do 100 subdomen na pojedynczym certyfikacie, więc nie w tym problem (co zresztą zostało już wyjaśnione).
I wszystko to ładnie obrabia certbot z automatu.

To tyle OT.

Offline

 

#7  2019-07-17 20:34:16

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Feedproxy Google i Noscript :D

Choćby i 1000 subdomen, to nie da się ich przewidzieć dokładnie pełnej listy, dlatego wildcard jest po prostu wygodniejszy.

Inna sprawa, ze Certbot już dostał wsparcie dla ACMEv2 i DNS-API, także pewnie certy wildcard już można w nim robić, choć nie próbowałem na razie.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)