proxy.pac + https sous IE

[eaglesly]

Bonjour à tous .

j'ai un problème que je n'arrive pas à résoudre et j'avoue que je ne sais plus où chercher : le voici :
Pour l'accès internet, chez nous, on utilise du proxy squid. Le parc informatique est constitué de Win 98 (35 % environ), de Win2K (10% environ) et WinXPpro SP1 et SP2 (le reste). Le browser préconisé est normalement IE5.5 mini, mais on est surtout sur du IE 6. La configuration du navigateur est la suivante : utilisation d'un script de configuration automatique, hébergé sur un serveur web, pour prendre en compte les connexions de nos différents partenaires.
voici mon problème :
A l'occasion d'une évolution d'archi informatique, j'ai dû mettre à jour le script d'autoconf.J'ai rencontré quelques soucis d'interprétation par windows, mais liés au retour charriot... et c'est résolu. J'ai testé ce script sous Firefox : maintenant, il fonctionne sans problème. IL fonctionne a priori sans problème aussi sous IE puisque tous les scénarii conditionnels sont testés et efficaces. Mais...
Quand on veut aller sur certains sites, dont le point commun est d'être en https, on se retrouve avec une 'dnserror' de windows (impossible d'afficher la page).
Une piste qu'on a exploré était que, suivant les stations, ca pouvait fonctionner ou pas. NOtamment, celles qui étaient aux dernières mises à jour kro$oft, aucun problème de connexion. J'ai donc pensé que ce pouvait être lié à un bug d'IE qui interprète mal le script d'autoconf, corrigé par les patches win. Un nouveau test contredit cette option : Un IE 6 SP1 fonctionne, alors qu'un IE6 SP2 ne fonctionne pas (version postérieure). J'ai jeté un coup d'oeil sur le contenu des patches disponibles sans trouver quoi que ce soit de satisfaisant.

Un petit détail que j'avais oublié : ce problème ne se produit que avec IE. Le même scénario de test avec Firefox fonctionne sans problème.

Voici deux exemples de sites qui ne fonctionnent pas en script d'autoconf mais qui fonctionnent avec proxy en dur :
http://www.cpam-espacepro.fr
http://stgpe.dgi.minefi.gouv.fr

Pour compléter, voici les versions d'IE à partir desquelles j'ai fait les tests :
6.0.2900.2180.xpsp_sp2_rtm.040803-2158 (version livrée avec le winXPSP2+patch wmf) test KO
6.0.2900.2180.xpsp_sp2-gdr.050301-1519 (version xpsp2 avec tous les patches) test Ok
6.0.2800.1106.xpsp_sp2030422-1633 (sous winxppro SP1 + patches) test OK
6.0.2800.1106 sous win98 test ko.
Quelqu'un a-t-il des pistes sur un paramétrage IE ou un patche à passer qui puisse m'aider à résoudre ce problème.

Merci d'avance

[Gaston]

Bonjour,
j'ai pas de réponse formelle, mais pourrais tu nous donner l'expression de ton PAC qui matche ces domaines ?
Tes 2 urls aboutissent à un 302 de réécriture en https, masi qui ne sortnet pas du domaine. Il n'y a donc pas de raison que cela n'aboutisse pas ...

Code: Tout sélectionner

A redirect to https://www.cpam-espacepro.fr/ was issued by the server   
A redirect to https://stgpe.dgi.minefi.gouv.fr/ICSLogin/?"http://stgpe.dgi.minefi.gouv.fr/" was issued by the server   

G.

[eaglesly]

voilà le contenu de mon .pac in extenso.
Le match, c'est donc le default : return proxy.bercy.cp:3128
"
function FindProxyForURL(url,host)
{
if (dnsDomainIs(host,".cpcom-in.com"))
return "PROXY proxy.bercy.cp:3128";
if (dnsDomainIs(host,".cdc.fr")||
dnsDomainIs(host,"cdc-net.com")||
dnsDomainIs(host,".dbr.cdcixis-cm.com"))
return "PROXY proxyicdc_fr.cdcixis-cm.com:8082;PROXY proxyicdc_fr1.cdcixis-cm.com:8082";
if (dnsDomainIs(host,".cp")||
dnsDomainIs(host,".dgi")||
dnsDomainIs(host,".appli.impots")||
dnsDomainIs(host,".ader.gouv.fr")||
dnsDomainIs(host,".alize")||
dnsDomainIs(host,".budget")||
dnsDomainIs(host,".servir")||
dnsDomainIs(host,".treasury.ixis-cib.com")||
localHostOrDomainIs(host,"localhost")||
isInNet(host,"161.48.0.0","255.255.0.0")||
isInNet(host,"10.0.0.0","255.0.0.0")||
isInNet(host,"127.0.0.1","255.255.255.255")||
isPlainHostName(host))
return "DIRECT";
return "PROXY proxy.bercy.cp:3128";
}
"
C'est bien ce que je pige pas : que ca fonctionne en http et pas en https...

Merci de votre aide.

[frantz2]

- As tu regardé tout simplement les options de configuration HTTP d'internet explorer !!

[Gaston]

je cherche, mais déjà :
je pense que tu peux simplifier : localhost doit être matché par "isPlainHostName(host) "
ets-ce que tu as bien les reverse pour tes réseaux de isinnet (vérification à l'évaluation ) ?
j'espère que tous les domaines existent ...
est-ce que tu as fait des essais avec un PAC simplifié
est-ce que sur une *même* session de IE les accès http et https sont inopérant ?

- As tu regardé tout simplement les options de configuration HTTP d'internet explorer !!

qu'est-ce que tu entends par là ?

[eaglesly]

je cherche, mais déjà :
je pense que tu peux simplifier : localhost doit être matché par "isPlainHostName(host) "

Pas con... je n'y avais pas pensé. Je vais donc supprimer cette ligne. Merci du tuyau.

ets-ce que tu as bien les reverse pour tes réseaux de isinnet (vérification à l'évaluation ) ?
j'espère que tous les domaines existent ...
est-ce que tu as fait des essais avec un PAC simplifié
est-ce que sur une *même* session de IE les accès http et https sont inopérant ?

Aux trois premières questions la réponse est oui : comme j'ai déjà rencontré pas mal de problèmes dans la rédaction d'un .pac, j'ai pris l'habitude, maitenant, de le rédiger ligne par ligne, et de le tester ligne par ligne. En fait, les problèmes que je rencontrais étaient essentiellement liés à ce fameux retour charriot qui est maintenant résolu... mais les bonnes habitudes sont restées.

Tu veux dire : essayer une connexion en http et essayer une connexion https, dans une même session ie ? Je ne vois pas comment tester : il faut pour cela que le site web accepte les deux modes de connexion... et ce n'est pas le cas. En plus, ce n'est pas un incident reproduit quel que soit le site https. Certains passent absolument sans problème.

A l'exception du localhost, ci-dessus, je suis donc à peu près sûr de mon script. J'écarte aussi la piste proxy puisque ca fonctionne en dur. Reste donc le poste de travail.

[eaglesly]

- As tu regardé tout simplement les options de configuration HTTP d'internet explorer !!

J'écarte cette piste : Comme indiqué, j'ai essayé avec quatre IE différents. Notamment, je voulais voir avec deux qui avaient un comportement différent, si la configuration d'IE était différente. J'ai repointé toutes les options entre les deux machines, qui étaient absolument identiques... et on conserve ce fonctionnement divergent.

A priori, j'écarte donc la config IE.

[Gaston]

Salut,
pas de bonnes nouvelles mais enfin ... sous IE (6.0 sp2)

Code: Tout sélectionner

dnsDomainIs(host,\".cp\")   matche http://www.cpam-espacepro.fr
dnsDomainIs(host,\".dgi\")  matche http://stgpe.dgi.minefi.gouv.fr

Ce qui fait que dans les deux cas tu récupères un "DIRECT" et comme c'est de l'internet tu sors pas d'où ton erreur "DNS"
Me demande pas pourquoi, je voyait pas les expressions régulière comme ça non plus, masi ceci est le résultat d'essais répétés !
Firefox est beacoup plus cool de ce côté là
Si on a un balaise des PAC sur la ligne j'ai d'autre questions (pourquoi la définition du PAC est correctement récupéré un jour et pas le lendemain, il semble que ce soit lié au temps mis pour récupérer le PAC sur le serveur, ... )

Un petit pas pour toi j'espère, et vu le comportement d'IE, tu devrais peut-être revoir les autres "regex"

A+
G.

[eaglesly]

Merci à toi pour ce petit pas... Comme dirait neil, c'est un petit pas... mais un grand...
J'ai rejeté un oeil sur la doc des .pac et visiblement, c'est un problème d'interprétation de la directive dnsDomainIs.

J'ai mis le dossier entre les mains de l'assistance kro$oft pour voir ce qu'ils ont à en dire.

[eaglesly]

Promis juré, c'est pas une blague :
J'ai mis le dossier dans les mains de l'assistance Krosoft. Après m'avoir dit qu'il fallait mettre tous les OS à jour( bof ! ), ils m'ont demandé de faire des traces réseau.

Et le plan d'action proposé c'est :
Pouvez vous effectuer le test suivant :
Changer l'extension du fichier .pac en .jvs et voir si le problème est toujours présent ?

Risible, non ?

Alors... Qu'est-ce qu'ils vont nous trouver maintenant ?

[Gaston]

Bjr,

Changer l'extension du fichier .pac en .jvs et voir si le problème est toujours présent ?
Risible, non ?

Le pire eut-été que cela change quelquechose, , je ne m'étonne plus de rien avec leurs approches proxy (j'ai testé au cas où ..).

Si tu trouves une autre solution, tiens nous au courant :
G.

[eaglesly]

dernières nouvelles du problème :
Sur l'incident ouvert chez kro$oft, il est reconnu que le problème est un bug applicatif d'IE qui parse l'URL à la recherche d'une expression régulière au lieu d'un nom de domaine (Ca a été long, mais ils ont fini par admettre).
Patch IE 6 : a priori pas envisagé, il n'y aura pas de hotfix pour ce problème du fait du développement d'IE7, il ne semble pas prévu qu'il y ait d'IE6 SP3, la prochaine mise à jour d'IE étant IE7.
Sortie programmée d'IE 7 : avec Vista (qui était initialement prévue courant d'été) et est donc reportée d'autant. Or IE7 pour XP sortira après Vista, c'est à dire ... On ne sait pas quand...
Bref, on n'attendra pas plus longtemps.

Solution de contournement :
Le script d'autoconf est un javascript. On peut donc théoriquement passer n'importe quelle commande js dans le script d'autoconf. C'est ce qu'ils préconisent pour extraire les noms de domaines.
str3 = host.charAt(host.length-3);
str2 = host.charAt(host.length-2);
str1 = host.charAt(host.length-1);
arr3 =(str3).concat(str2).concat(str1);
puis
domcp =".cp"
et enfin :
la condition
(arr3 == domcp)
Un peu lourdingue dans la mesure où il faut créer autant de variables que de nombre de lettres dans le domaine recherché.
M'enfin... ca marche avec IE et Firefox... et c'est un peu le principal.

Par contre, apparemment, la cohabilitation Java+IE le supporte mal. Mais j'avoue que j'ai baissé les bras

La semaine dernière j'en ai discuté avec un 'confrère' qui m'a dit qu'ils avaient, de leur côté, opté pour la solution shExpMatch en lieu et place de dnsDomainIs et qu'ils en tiraient toute satisfaction. Je vais donc essayer de mettre ca en place... quand j'aurais le temps

[Gaston]

Bonsoir,
merci pour la suite du dossier, c'est sympa de partager les infos

Par contre, apparemment, la cohabilitation Java+IE le supporte mal. Mais j'avoue que j'ai baissé les bras

en effet suivant la version de la JVM, les config proxy sont plus ou moins bien interprétées, en particulier
avec un PAC un peu "complet" comme le tien.

La semaine dernière j'en ai discuté avec un 'confrère' qui m'a dit qu'ils avaient, de leur côté, opté pour la solution shExpMatch en lieu et place de dnsDomainIs et qu'ils en tiraient toute satisfaction.

Oui, ça marche bien, j'envisage même de l'utiliser à la place des IsInNet qui génèrent des requètes DNS ...
C'est quoi que tu as comme doc sur les pac ? la page de chez Netscape ?

Bon ben à la prochaine...
G.