Intérêt d’utiliser HTTPS
Pour éviter que les informations de connexion circulent en clair sur le réseau, ou pour empêcher l’usurpation d’identité, il est de bon ton de protéger certaines pages de SPIP, généralement :
- l’espace privé
- la page de login
Mais il est aussi important de protéger les pages publiques qui permettent d’une manière ou de l’autre de modifier la base de données, par exemple avec les crayons.
Fonctionnement du plugin
Le plugin est très simple et change simplement le protocole de HTTP à HTTPS si :
- le visiteur est connecté (i.e. quand il existe un cookie de session)
ou si
- la page demandée est la page de login
A noter : l’espace privé est bien protégé puisqu’on ne peut y accéder qu’en s’étant authentifié, ce qui crée le cookie de session.
Configuration du serveur web
Pour utiliser le plugin, il faut évidemment que le serveur web (Apache, par exemple) soit configuré pour servir en HTTP et en HTTPS.
Contenu mixte HTTP et HTTPS
Normalement, SPIP générera toute la page en HTTP, ou en HTTPS, mais pas de contenu mixte. En revanche, les librairies Javascript, par exemple OpenLayers, ou tout autre code ajouté à la main devra gérer HTTP et HTTPS pour éviter ce contenu mixte. Pour cela, il est possible d’ajouter un proxy PHP par exemple.
Discussions par date d’activité
13 discussions
Salut, on a testé de forcer la compatibilité avec SPIP 4.2, on ne sait pas si ca a fonctionné et ca nous fait poser la question : est ce que cette fonctionnalité n’a pas depuis été prise en charge de base dans les nouvelles versions de SPIP ? Merci :)
Non ce n’est pas de base de SPIP.
Mais ce plugin me semble une mauvaise idée : il faut que la connexion https soit tout le temps, et pas seulement lorsque connecté (il faut d’ailleurs que cela soit AVANT la connexion : sinon tu envoie ton mot de passe en clair depuis la version 4.1 de SPIP)
Répondre à ce message
Merci pour ce plugin !
Nous avons néanmoins eu besoin d’adapter le plugin pour qu’il fonctionne dans le cas d’une installation faite dans un sous-dossier (/site par exemple). Vous trouverez la documentation ici, si vous voulez l’intégrer ! Elle contient également des informations pour que cela fonctionne derrière un reverse proxy.
Merci.
À défaut de l’intégrer au code, je l’intègre à la mémoire locale (= je recopie ici) :
Répondre à ce message
bonjour
est ce que ce plugin va etre adapté à spip 3.2 ?
Salut,
tu peux deja tester en modifiant dans paquet.xml
par
cela te permettrait d’actover le plugin. Si le plugin fonctionne bien, signale le nous.
Répondre à ce message
Bonjour,
Depuis juillet 2016, TOUS les sites hébergés sur un serveur mutualisé chez OVH ont un certificat SSL (gratuit) activé sur l’hébergement (source).
Cela signifie qu’il est probable qu’un site chez OVH soit maintenant accessible en HTTPS, même si on n’a rien prévu pour ça.
Google cherchant à indexer et positionner en priorité la version HTTPS d’une page si elle est disponible, le site pourra être consulté en HTTPS même si on ne l’a pas demandé.
2 solutions :
Dans ce cas il est conseillé de désactiver SSL dans les paramètres de l’hébergement OVH, et de mettre en place les redirections HTTPS vers HTTP concernées.
Et dans cette situation, le plugin Redirection HTTPS ne redirige que quelques pages si j’ai bien tout compris : « passer automatiquement en HTTPS pour les pages contenant des informations privées (espace privé, login, crayons...) »
Comment procéder pour passer tout un site Spip 3.1 en https sans erreurs ?
Quelles sont les précautions à prendre ?
Merci de vos conseils
Répondre à ce message
Plugin indispensable ! et bravo
Cependant et sauf erreur, une fois que l’on s’est connecté tout le site (même les parties en accès public) reste en https et idem après déconnection.
Dans mon cas c’est génant sur un point précis : j’ai un code de redirection dans une page publique.
Comment faire pour annuler https juste sur cette page ou cette redirection ?
Merci par avance
Répondre à ce message
Bonjour, j’ ai grand besoin de vos lumières,
je n’arrive pas à comprendre... le plugin agit seulement sur les pages sensibles du site, mais les autres restent alors en HTTP ?
Faut il intervenir dans le .htaccess afin que tout le site soit en HTTPS, ou bien avec ce plugin les HTTP et HTTPS cohabitent ?
Merci d’avance
Ma question est si bête que ça ? ;-)
Répondre à ce message
Merci pour ce plugin, il répond à un besoin que j’avais.
Toutefois il réagit très mal avec les sous-domaines apparemment. Je ne sais pas où regarder dans le code source du plugin mais il semble qu’il redirige vers la racine du serveur lorsqu’il est activé et lorsqu’il passe en mode https. Il devient pour ma part inutilisable avec un spip en sous domaine et/ou un spip installé dans un sous-répertoire de l’hébergement.
Je précise que dans mon cas il y avait deux spip en 3.0.17 :
- Un en sous-domaine et en sous-répertoire qui possédait le plugin activé.
- Un en répertoire proncipal (à la racine) et en nom de domaine principal sans le plugin activé ni installé.
Résultat : lorsque je me connectais sur le backoffice spip du sous-domaine, je basculais en fait vers le spip du domaine principal (alors que dans la barre d’adresse j’avais toujours l’url du sous domaine).
J’espère que ce petit bug pourra être reproduit et corrigé de votre côté...
Répondre à ce message
Bonjour,
un petite question un peu hors sujet.
Sur un site avec spip 3.0.17. Le theme du site avec son css et webfonts se trouvent dans un plugin.
En http le tout fonctionne bien. Si je bascule en https le webfont provoquent des erreurs « mixed content » et les web-fonts sont bloqués.
Si j’active le présent plugin cela marche seulement quand je suis connecté mais pas quand je me déconnecte.
Si je regarde le code de ce plugin je voie qu’il utilise la redirection de spip :
redirige_par_entete('https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);"
est-ce la seule manière d’éviter de problème de « mixed content » si on utilise https avec spip ?
car avec
les erreurs « mixed content » persistent ?
Cordialement
Rainer
Bonjour,
Je ne sais pas si cela t’aidera mais ne serait-il pas mieux de mettre le chemin du webfont vers sa version https?
Concrètement dans ton css au lieu d’avoir par exemple :
Tu peux modifier en :
Comme cela ton navigateur n’aura pas deux contenus (http et https)...
Il faut pour cela modifier la css qui gère cette webfont.
Répondre à ce message
Bonjour,
Je ne pense pas que vous ayez prévu le cas des identifications tout en restant sur le site public comme avec #LOGIN_PUBLIC par exemple ou les formulaires maisons.
ça envoie un POST sur / (POST / HTTP/1.1)
Content-Type : application/x-www-form-urlencoded
formulaire_action=login&formulaire_action_args=XXX&var_login=redacteur¬hing=&password=XXX
La difficulté c’est le formulaire se charge généralement avec la première page du site qu’on ne peut pas passer en https (sinon autant passer tout le site en https)
Une idée ?
Effectivement, je n’avais pas prévu ça. On peut penser à plusieurs solutions :
Répondre à ce message
Bonjour,
ce plugin permet-il de rediriger en https les accès aux éléments restreints par le plugin « accès restreint » ?
merci,
Sylvain
Bon, je réponds un petit peu tard... Non, ce n’est pas prévu. C’est spécifié en dur, dans le code, qu’on renvoie vers HTTPS pour l’espace privé ou le formulaire de login.
Voir http://zone.spip.org/trac/spip-zone/browser/_plugins_/redirhttps/redirhttps_options.php#L7.
Répondre à ce message
Ajouter un commentaire
Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :
Merci d’avance pour les personnes qui vous aideront !
Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.
Suivre les commentaires : |