
<div dir="ltr">I see that Eitan sent a traffic dump, do you still need one from me?<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Mar 13, 2014 at 5:52 PM, Austin English <span dir="ltr"><<a href="mailto:austinenglish@gmail.com" target="_blank">austinenglish@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>I'm currently on vacation, I'll send you a wireshark dump when I'm back (assuming that Eitan hasn't solved it by then ;)).<br>


<br></div>Thanks for your help so far.<br></div><div class="gmail_extra"><div><div class="h5">

<br><br><div class="gmail_quote">On Tue, Mar 11, 2014 at 10:49 AM, Daniel Kahn Gillmor <span dir="ltr"><<a href="mailto:dkg@fifthhorseman.net" target="_blank">dkg@fifthhorseman.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div>On 03/10/2014 07:17 PM, Austin English wrote:<br>

> An example URL:<br>

> <a href="http://www.bbc.co.uk/news/magazine-25816000" target="_blank">http://www.bbc.co.uk/news/magazine-25816000</a> which then redirects to<br>

> <a href="http://www.bbc.com/news/magazine-25816000" target="_blank">http://www.bbc.com/news/magazine-25816000</a><br>

<br>

</div>Interesting, i'm not seeing this behavior at all on my end.  i wonder if<br>

it's particular to your network path.<br>

<div><br>

> See the attached screenshot (slightly edited for privacy reasons).<br>

><br>

> @Daniel, I'm not sure how to get the IP address of the server being used.<br>

> Running host on those domains returns several IPs..any tips?<br>

<br>

</div>one thing you could do is to run tcpdump or wireshark to capture your<br>

own traffic when the web page is visited; then inspect the traffic (e.g.<br>

with wireshark) to see which server sends a "CertificateRequest" TLS<br>

message.<br>

<br>

to start capturing packets with tcpdump to a file named debug.pcap if<br>

your network interface is named "eth0", do:<br>

<br>

  tcpdump -w debug.pcap -i eth0 -s 2048 'tcp port 443'<br>

<br>

(you might need to have superuser privileges to run tcpdump like this)<br>

<br>

then as your regular user, visit the web page to get it to trigger the<br>

certificate request in your browser.<br>

<br>

then hit Ctrl-C in the terminal running tcpdump.<br>

<br>

as a regular user, you can point wireshark at that packet dump to<br>

inspect it. If you are comfortable sharing it privately, and you want<br>

help investigating it, you can send it to me off-list and i'll take a<br>

look at it with you.<br>

<div><br>

> One other important thing I just noticed. The BBC (partial) rule is enabled<br>

> (by default), but BBC.com (false MCB) is not. Enabling that rule the gives<br>

> me https <a href="http://bbc.com" target="_blank">bbc.com</a> urls, but Firefox warns me that the page is only partially<br>

> encryped. The page still pops up the certificate dialog, however.<br>

<br>

</div>yep, they've definitely got a mixed-content problem at the BBC :(<br>

<br>

hth,<br>

<br>

        --dkg<br>

<br>

</blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br>-Austin

</font></span></div>

</blockquote></div><br><br clear="all"><br>-- <br>-Austin

</div>