Hier nous avons essayé - sans grand succès - de mettre l'espace privé de SPIP en SSL.
Problèmes :
- bcp. des formulaires ajax ne marchent plus (par ex. changer la date d'un article, ajouter un mot-clé);
- de toute façon le login SPIP se passe en-dehors d'un URL /ecrire (et l'approche que nous avions prise était de rediriger vers SSL tout ce qui avait /ecrire dans l'adresse).
Questions :
- est-ce que c'est possible ce SSL ?
- si oui, est-ce que je cherche dans le bon sens, où faut-il s'y prendre autrement ?
Je ne comprends pas: pour ma part j'ai des sites sous SPIP avec un .htaccess dans ecrire qui exige du https, ça marche depuis des années sans problèmes.
Alors c'est moi qui fais mauvaise route. Avec notre fournisseur d'accès nous essayions de mettre en place des redirects dans nginx qui est devant Apache. C'est, je suppose, cela qui a causé des effets de bord ; alors qu'il aurait fallu ajouter tout simplement un /ecrire/.htaccess. Si tu as le contenu de ce fichier dispo, je serai preneur reconnaissant.
Mais même si on met /ecrire sous SSL, le formulaire de connexion .../spip.php?page=login et son POST n'est toujours pas en SSL ? Ou est-ce qu'il y a là encore un malentendu ?
# Cette ligne force une authentification vis-a-vis du ldap de l'ufr:
LDAP_Protocol_Version 2
LDAP_Deref NEVER
LDAP_StartTLS On
LDAP_Server ldap.ufr-info-p6.jussieu.fr
LDAP_Port 389
Base_DN "ou=dbufr,ou=ARI,dc=ufr-info-p6,dc=jussieu,dc=fr"
UID_Attr uid
# Cette ligne impose que le repertoire ne soit servi qu'en HTTPS:
SSLRequireSSL
SSLVerifyDepth 4
SSLOptions +StrictRequire
SSLOptions +OptRenegotiate
# L'url servie quand le repertoire est accede hors https:
# 403 = Forbidden, mais l'action 403.php redirige en remplaçant http par htps
ErrorDocument 403 /2009/?action=403
# Cette url n'est presentee que lorsque le client ne veut pas donner
# son identite (il a clique sur Cancel dans la boite d'identification).
# 401: Unauthorized
ErrorDocument 401 /2009/?page=404
Mais même si on met /ecrire sous SSL, le formulaire de connexion .../spip.php?page=login et son POST n'est toujours pas en SSL ? Ou est-ce qu'il y a là encore un malentendu ?
Ce formulaire n'est plus utilisé dans un tel contexte: toute URL au-delà de ecrire/ provoque l'authentification indiquée par le .htaccess, et si elle marche on aboutit dans l'espace privé.
Je rebondis (un peu tard) là-dessus pour vous faire part de quelques retours d’expérience faits il y a quelques temps :
passer l’espace privé en https a quelques effets secondaires indésirables, notamment sur les css et js insérés en url absolue par le couteau suisse (précompilation)
j’ai aussi eu quelques soucis du même ordre avec le compresseur css, il me semble (le test remonte à quelques mois, je ne me souviens plus très bien du détail des soucis, simplement que ça cassait parfois l’espace privé, et d’autres fois je me retrouvais avec une css appelée en https sur le site public, ce dont je ne voulais pas)
si on n’a pas d’authentification LDAP, on est obligé de rajouter des règles pour gérer le processus d’authentification spécifiquement (à tester en spip 2.1)