È una sessione sicura tenuta in vita tra i browser?

Naviga le tue risposte
2

TL; DR Quando una connessione viene rifiutata quando si accede a un sito Web .mil su HTTPS ripetutamente in Internet Explorer, il primo accesso al sito in Chrome consentirà a IE di connettersi ogni volta. Perché è questo?

Faccio servizio di IT presso un'università per i quadri ROTC americani. Quindi i membri del servizio militare in servizio attivo su una rete non militare, spesso dobbiamo venire con alcune soluzioni alternative a causa di questo. Uno che è venuto spesso per l'esercito è quando si tenta di accedere a AKO ( link ) in Internet Explorer e Windows 7 ( non testato in win10) a volte genera un errore e non si connette, sfortunatamente non ricordo cosa dice l'errore specifico ma penso è un errore di connessione IE rifiutato. In ogni caso, costantemente la soluzione per questo è andare su AKO su Google Chrome, accedere al sito in questo modo, quindi con Chrome ancora aperto, accedere a AKO in IE e funziona.

Più di recente un singolo utente su Windows 10 (appena ripreso, che si è verificato dall'inizio) nell'Aeronautica è stato ripetutamente ma a intermittenza (forse l'80% + delle richieste) ottenendo l'errore,

Can’t connect securely to this page. This might be because the site uses outdated or unsafe TLS security settings.

Per un capriccio (e dopo aver provato ogni variante delle opzioni SSL3.0 / TLS1.0 / TLS1.1 / TLS1.2) ho provato la soluzione alternativa e ha funzionato di nuovo in modo coerente. Le mie note di questo incidente:

  • Avvia google chrome

  • Vai al link

  • Accedi con il CAC degli utenti
  • Avvia Internet Explorer
  • Ora tutti i siti * .af.mil saranno accessibili in quanto Chrome ha creato la connessione TLS richiesta e IE può portarlo fuori da questo.

Lo uso da molto tempo ma non mi è mai venuto in mente perché / come funziona. Ho ipotizzato che la sessione TLS fosse essenzialmente generata da Chrome e quindi IE piggy ne è stata esclusa. Ho trovato questa risposta: La crittografia in HTTPS è eseguita dal browser o dal sistema? che menziona che IE utilizza un'API del sistema operativo per esso, che nella mia mente supporta questa teoria:

If you specify https://, then the browser is taking responsibility for encryption. Some browsers use OS-provided APIs (looking at IE here)

Questo post sembra indicare l'esatto opposto: Sono SSL sessioni del browser mantenute attive tra le richieste?

HTTP sessions and SSL sessions are different entities and there is no mapping from one to the other.

Ancora una volta, potrei essere completamente non corretto su questa teoria, spero solo che qualcuno possa spiegare qual è la vera causa di questo, così posso capire meglio cosa sto implementando.

    
posta William 18.05.2018 - 15:36
fonte

1 risposta

1

Non ho accesso a questa infrastruttura quindi non ho modo di riprodurre il tuo problema. Quindi posso solo indovinare: se ho capito bene, devi accedere a un sito web specifico (www.my.af.mil) per accedere a tutti gli altri siti * .af.mil. La mia ipotesi è che questo sia fatto da una lista bianca del tuo sistema specifico (forse per indirizzo IP, forse con un token NTLM) al login riuscito. Questo spiegherebbe perché è possibile accedere ai siti con Internet Explorer anche dopo aver effettuato correttamente l'accesso con Chrome poiché si sta ancora effettuando la connessione dallo stesso sistema. Sicuramente non condivide la sessione SSL tra i browser - non condivide nemmeno la sessione SSL tra i diversi siti * .af.mil.

Per quanto riguarda l'impossibilità di accedere al sito di accesso con Internet Explorer: probabilmente c'è qualche incompatibilità tra il sito di login o qualche middlebox che si trova nel percorso del sito di accesso. Non ci sono abbastanza dettagli per scoprire cosa sia esattamente.

In ogni caso, mi chiedo perché ti chiedi del problema qui. Immagino che il modo corretto sarebbe di segnalare il problema all'amministrazione di sistema responsabile di questo accesso invece di cercare di aggirare il problema. Dato che non hai incluso alcuna istruzione dall'amministrazione del sistema, posso solo supporre che tu non abbia nemmeno tentato di lasciargli gestire il problema.

    
risposta data 18.05.2018 - 16:50
fonte

Leggi altre domande sui tag

È sicuro esporre questi particolari servizi derivati di Firebase? Valutazione della sicurezza dello script di terze parti