Aller au contenu principal

Annexe B. Problèmes soulevés par les portails captifs (Issues Raised by Captive Portals)

Étant donné que les clients ne peuvent pas différencier la réponse d'un portail de celle du serveur HTTP avec lequel ils avaient l'intention de communiquer, plusieurs problèmes se posent. Le code d'état 511 vise à aider à atténuer certains d'entre eux.

Un exemple est le "favicon.ico" [Favicon] couramment utilisé par les navigateurs pour identifier le site consulté. Si le favicon d'un site donné est récupéré à partir d'un portail captif au lieu du site prévu (par exemple, parce que l'utilisateur n'est pas authentifié), il restera souvent "collé" dans le cache du navigateur (la plupart des implémentations mettent en cache les favicons de manière agressive) au-delà de la session du portail, de sorte qu'il semble que le favicon du portail ait "pris le contrôle" du site légitime.

Un autre problème basé sur les navigateurs se produit lorsque la plateforme pour les préférences de confidentialité [P3P] est prise en charge. Selon la façon dont elle est implémentée, il est possible qu'un navigateur interprète la réponse d'un portail pour le fichier p3p.xml comme celle du serveur, ce qui fait que la politique de confidentialité (ou son absence) annoncée par le portail est interprétée comme s'appliquant au site prévu. D'autres protocoles basés sur le Web tels que WebFinger [WebFinger], le partage de ressources entre origines [CORS] et l'autorisation ouverte [OAuth2.0] peuvent également être vulnérables à de tels problèmes.

Bien que HTTP soit le plus largement utilisé avec les navigateurs Web, un nombre croissant d'applications non-navigatrices l'utilisent comme protocole de substrat. Par exemple, la création distribuée Web et le contrôle de version (WebDAV) [RFC4918] et les extensions de calendrier à WebDAV (CalDAV) [RFC4791] utilisent tous deux HTTP comme base (respectivement pour la création à distance et le calendrier). L'utilisation de ces applications depuis un portail captif peut entraîner l'affichage d'erreurs parasites à l'utilisateur et pourrait entraîner une corruption du contenu, dans les cas extrêmes.

De même, d'autres applications non-navigatrices utilisant HTTP peuvent également être affectées, par exemple les widgets [WIDGETS], les mises à jour logicielles et d'autres logiciels spécialisés tels que les clients Twitter et l'iTunes Music Store.

Il convient de noter que l'on croit parfois que l'utilisation de la redirection HTTP pour diriger le trafic vers le portail résout ces problèmes. Cependant, étant donné que beaucoup de ces utilisations "suivent" les redirections, ce n'est pas une bonne solution.

Dernière mise à jour le