I provider reindirizzano gli speedtest sui propri server?

Aaternopae · 2022-08-17T09:47:43+00:00

simonebortolin peccato che un browser non ammetta certificati self-signed senza dare un bel messaggio di errore

evidentemente c'è modo di forzare il trust di un host a monte prima di aprire la connessione, probabilmente quando il browser parla con https://www.speedtest.net gli viene fornita una applet scritta in qualche modo che contiene dei dati specifici per trustare tutti gli host ufficiali.

La prima sessione breve la fa quando selezioni il server dalla lista. Sembra una specie di discovery o di esistenza in vita. Non ho spulciato tutto il cap, però di default era selezionato Fastweb Milano (la linea da cui ho fatto il test è una linea Fastweb), probabile che ci sia la stessa breve sessione verso lo speedtest di Fastweb e forse in tutto quel traffico che fa ci sono una serie di prove che fa fare al browser per capire il contesto.

Onestamente non ho voglia di mettermi a retroingegnerizzare tutto il flusso che fa.

nanomad · 2022-08-17T09:47:48+00:00

aternopae Ma da browser è una banale connessione HTTPS. Javacript non ha modo di fare altro.

Case in point:

Ho fatto dnat di test.eolo.it verso lo speedtest di cwnet
cwnet ha una certification chain valida, oltretutto su dominio ookla

Ovviamente non parte lo speedtest perchè il BROWSER blocca tutto:

Non ci sono applet, magie o altro. E' una banale connessione HTTPS. Stai usando parole random che non formano frasi di senso compiuto nel contesto dei browser web moderni (che, per tua info, non supportano più applet o altro)

aternopae evidentemente c'è modo di forzare il trust di un host a monte prima di aprire la connessione, probabilmente quando il browser parla con https://www.speedtest.net gli viene fornita una applet scritta in qualche modo che contiene dei dati specifici per trustare tutti gli host ufficiali.

No è un banale file json che contiene gli hostname dei server, i loro ID e poco altro. Il trust è fatto appunto dal motore HTTPS del browser che controlla che:

Non stia provando a caricare risorse HTTP in chiaro a partire da un URL "nella barra" in HTTPS
Il server abbia un certificato HTTPS
Il certificato HTTPS sia emesso per lo stesso nome host a cui ti stai connettendo
Il certificato HTTPS ha una trust chain valida (i self signed non sono ammessi)

simonebortolin · 2022-08-17T10:00:19+00:00

aternopae evidentemente c'è modo di forzare il trust di un host a monte prima di aprire la connessione, probabilmente quando il browser parla con https://www.speedtest.net gli viene fornita una applet scritta in qualche modo che contiene dei dati specifici per trustare tutti gli host ufficiali.

Non esiste più flash player è tutto javascript e json è tutto ciò è impossibile

mark129 · 2022-08-17T17:36:07+00:00

nanomad edit: il trick del DNAT funziona solo se la gente usa speedtest da CLI o da app

Allora la Guida ( @matteocontrini ?) andrebbe aggiornata comunque: IMVHO.

Mmatteocontrini · 2022-08-17T17:40:48+00:00

mark129 abbiamo mai visto Speedtest.net rotto perché qualche ISP dirotta il traffico? Mi pare di no... Quindi il problema nella pratica non esiste

mark129 · 2022-08-17T17:42:51+00:00

matteocontrini l problema nella pratica non esiste

In ambito security basta un proof of concept per prendere sul serio una vulnerabilità: ovviamente è solo la mia opinione, e neanche professionale, personalmente mi regolerò non consigliando più il solo test da CLI.

Mmatteocontrini · 2022-08-17T17:47:58+00:00

mark129 sai bene qual è il target della guida e introdurre l'esistenza teorica di un trucco che funziona a metà e per cui non c'è mezza prova sia mai stato applicato non mi sembra serva a qualcosa

nanomad · 2022-08-17T18:28:24+00:00

mark129 la cosa responsabile sarebbe far migrare Ookla a tls come già fanno su web.

Ad interim se si hanno dubbi basta chiedere uno speedtest via web sullo stesso server

mark129 · 2022-08-17T19:38:56+00:00

matteocontrini per cui non c'è mezza prova sia mai stato applicato

Non discuto le tue opinioni, sai come la penso al riguardo: riguardo la mezza prova, @aternopae ha asserito di averlo visto fare da un ISP non nominato, se volesse circostanziare almeno quello...

simonebortolin · 2022-08-17T19:53:15+00:00

mark129 un isp non nominato potrebbe non essere nominato perché in contrasto con il regolamento del forum

Quindi non si può parlare di ciò manco in wiki(?)

mark129 · 2022-08-17T19:55:44+00:00

simonebortolin un isp non nominato potrebbe non essere nominato perché in contrasto con il regolamento del forum

Lo sai per certo o è un amo che lanci?

LLATIITAY · 2022-08-17T20:26:37+00:00

simonebortolin mark129 non credo proprio possa essere quell'ISP, parlava di piu' uplink con Tier1 tra cui uno italiano... Quell'ISP non mi risulta abbia mai avuto Telecom Italia Sparkle, e non esisteva ancora quando Tiscali International Network era ancora italiana, per cui...

mark129 · 2022-08-17T20:28:40+00:00

LATIITAY non mi risulta abbia mai avuto Telecom Italia Sparkle

Con quello che costa...

simonebortolin · 2022-08-17T20:29:21+00:00

mark129 "potrebbe"

LATIITAY

mark129 meno di altre soluzioni