IPv6 link-local korrekte Angabe des Interface in URL

[Marco Moock]

Hallo zusammen,

ich wollte ne link-local IPv6 im Format fe80::1234%eth0 im Browser
erreichen, das ging nicht, wie ich rausgefunden habe, ist das so
gewollt.

https://forum.palemoon.org/viewtopic.php?f=3&t=29004#p233317

Bei Wikipedia wird folgende Syntax vorgeschlagen:
http://[fe80::1ff:fe23:4567:890a%25eth0]/

In ftp://rfc-editor.org/in-notes/rfc4007.html
ist die von mir oben genannte erklärt.

In ftp://rfc-editor.org/in-notes/rfc6874.html
ist die von Wikipedia für die URI genannt. Kennt wer Orte, die die
Variante mit %25 akzeptiert, außer den IE?
Pale Moon und FF tun es nicht. Link-local ist da nicht sinnvoll nutzbar.
https://bugzilla.mozilla.org/show_bug.cgi?id=700999

Momentan wird das bei der IETF wieder diskutiert:
https://www.ietf.org/archive/id/draft-ietf-6man-rfc6874bis-03.html

--
Gruß
Marco

[Ignatios Souvatzis]

Marco Moock wrote:

> Bei Wikipedia wird folgende Syntax vorgeschlagen:
> http://[fe80::1ff:fe23:4567:890a%25eth0]/

wenn, wuerde das so gehen, da nummerische Adressen in URLs
ge[]t werden muessen (ausser bei legacy IP) und % vermutlich
die hex-expansion triggert.

Aber link-local ist a) hauptsaechlich fuer die Infrastruktur
des Protokolls (z.B. neighbour discovery) gedacht, und waere
im Browser eine Sicherheitsluecke, da eine entfernte Webseite
per frames oder javascript Zugriffe auf deine internen Geraete
ausloesen koennte - ich kann mir vorstellen, dass man es deshalb
im Browser sperrt. Gibts da keinen Schalter in about:config ?

Gruesse,
-is

[Marco Moock]

Am 26.10.2022 um 15:08:52 Uhr schrieb Ignatios Souvatzis:

> Aber link-local ist a) hauptsaechlich fuer die Infrastruktur
> des Protokolls (z.B. neighbour discovery) gedacht, und waere
> im Browser eine Sicherheitsluecke, da eine entfernte Webseite
> per frames oder javascript Zugriffe auf deine internen Geraete
> ausloesen koennte - ich kann mir vorstellen, dass man es deshalb
> im Browser sperrt.

Dieses Problem besteht doch auch bei site-local, ULA und privatem IPv4,
oder?

> Gibts da keinen Schalter in about:config ?

Wäre mir neu.

[Marc Haber]

Ignatios Souvatzis <u50...@bnhb484.de> wrote:
>Aber link-local ist a) hauptsaechlich fuer die Infrastruktur
>des Protokolls (z.B. neighbour discovery) gedacht, und waere
>im Browser eine Sicherheitsluecke, da eine entfernte Webseite
>per frames oder javascript Zugriffe auf deine internen Geraete
>ausloesen koennte - ich kann mir vorstellen, dass man es deshalb
>im Browser sperrt. Gibts da keinen Schalter in about:config ?

Netzwerker hangeln sich gerne über Linklocal von Device zu Device,
wenn kein Out of Band Management verfügbar ist und das Routing kaputt
ist, ich könnte mir bei diesen modernen Web-only-Devices vorstellen
dass man das irgendwann auch mal mit dem Browser wird tun müssen.

Insoweit halte ich die Frage für valide.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marco Moock]

Am 27.10.2022 um 09:27:52 Uhr schrieb Marc Haber:

> Netzwerker hangeln sich gerne über Linklocal von Device zu Device,
> wenn kein Out of Band Management verfügbar ist und das Routing kaputt
> ist, ich könnte mir bei diesen modernen Web-only-Devices vorstellen
> dass man das irgendwann auch mal mit dem Browser wird tun müssen.

Exakt. Auch zum Testen von Serverdiensten ist link-local meist völlig
ausreichend.

[Marc Haber]

Das würde mir allerdings nicht im Traum einfallen.

[Marco Moock]

Am 28.10.2022 um 11:05:07 Uhr schrieb Marc Haber:

> Das würde mir allerdings nicht im Traum einfallen.

Warum nicht?

[Marc Haber]

Alleine weil das kein realistischer Test ist. Wenn das Routing in
Ordnung ist, nehme ich den vorgesehen Weg. Wenn das Routing nicht in
Ordnung ist, mach ich das Netz heil bevor ich mich um den Serverdienst
kümmere.

[Bastian Blank]

Marc Haber wrote:
> Marco Moock <mo...@posteo.de> wrote:
>>Am 28.10.2022 um 11:05:07 Uhr schrieb Marc Haber:
>>> Das würde mir allerdings nicht im Traum einfallen.
>>Warum nicht?
> Alleine weil das kein realistischer Test ist. Wenn das Routing in
> Ordnung ist, nehme ich den vorgesehen Weg. Wenn das Routing nicht in
> Ordnung ist, mach ich das Netz heil bevor ich mich um den Serverdienst
> kümmere.

Und auf dem Router hat man normalerweise auch keine graphische
Oberfläche, wo ein moderner Browser laufen würde. Man hat also nicht mal
die Möglichkeit über den ersten Hop zu kommen.

Und für den Rest geht immer noch ssh Port-Forwarding (hoffentlich, habs
nicht ausprobiert) oder sowas.

Bastian

[Ralf Döblitz]

Marco Moock <mo...@posteo.de> schrieb:

> Am 28.10.2022 um 11:05:07 Uhr schrieb Marc Haber:
>
>> Das würde mir allerdings nicht im Traum einfallen.
>
> Warum nicht?

Also ich will normalerweise wissen, wie sich der Service verhält, wenn
er über das richtige Interface (und ggfls. mit dem richtigen Hostnamen)
angesprochen wird.

Mein MX z.B. lauscht neben localhost nur auf den dafür vorgesehenen
IPv4- und IPv6-Adressen, auf anderen Adressen (u.a. link local) wird er
nicht reagieren. Und das ist auch gut so.

Und meine Webserver verhalten sich je nach angesprocher IP-Adresse
anders (Binding des virtuellen Servers im Nginx oder Apache).

Ralf
--
"ceterum censeo systemd esse delendam"

Ralf Döblitz * Schapenstraße 6 * 38104 Braunschweig * Germany
Mit UTF-8 kann man gleichzeitig äöüßÄÖÜæœłø‱¼½¾¤¹²³¢€£¥¶§¬÷×±©®™¡¿ verwenden …