Rediriger en HTTPS quand l’utilisateur est connecté

Published : 17 June 2011 – updated on 6 April 2020 – by severo – 20 commentaires

Español, français
1
2
3
4
5
15 Votes

Passez automatiquement en HTTPS pour les pages contenant des informations privées (espace privé, login, crayons...)

Intérêt d’utiliser HTTPS

Pour éviter que les informations de connexion circulent en clair sur le réseau, ou pour empêcher l’usurpation d’identité, il est de bon ton de protéger certaines pages de SPIP, généralement:

  • l’espace privé
  • la page de login

Mais il est aussi important de protéger les pages publiques qui permettent d’une manière ou de l’autre de modifier la base de données, par exemple avec les crayons.

Fonctionnement du plugin

Le plugin est très simple et change simplement le protocole de HTTP à HTTPS si:

  • le visiteur est connecté (i.e. quand il existe un cookie de session)

ou si

  • la page demandée est la page de login

A noter: l’espace privé est bien protégé puisqu’on ne peut y accéder qu’en s’étant authentifié, ce qui crée le cookie de session.

Configuration du serveur web

Pour utiliser le plugin, il faut évidemment que le serveur web (Apache, par exemple) soit configuré pour servir en HTTP et en HTTPS.

Contenu mixte HTTP et HTTPS

Normalement, SPIP générera toute la page en HTTP, ou en HTTPS, mais pas de contenu mixte. En revanche, les librairies Javascript, par exemple OpenLayers, ou tout autre code ajouté à la main devra gérer HTTP et HTTPS pour éviter ce contenu mixte. Pour cela, il est possible d’ajouter un proxy PHP par exemple.

Attention : Pour les versions de SPIP antérieures à 2.1.11, vous devez modifier le core. Pour que tout fonctionne bien, les pages servies en HTTP et en HTTPS doivent piocher dans un cache différent, sinon tout se mélange. Si votre installation de SPIP ne contient pas encore la modification http://core.spip.org/projects/spip/repository/revisions/17941, il faut l’ajouter à la main:

  • ouvrir le fichier ecrire/public/assembler.php
  • dans la fonction calculer_contexte_implicite(), ajouter la ligne avec HTTPS pour obtenir: 
            $contexte_implicite = array(
                'squelettes' => $GLOBALS['dossier_squelettes'],
                'host' => $_SERVER['HTTP_HOST'],
                'https' => $_SERVER['HTTPS'],
                'espace' => test_espace_prive(),
                'marqueur' => (isset($GLOBALS['marqueur']) ?  $GLOBALS['marqueur'] : ''),
                'notes' => $notes?$notes('','contexter_cache'):'',
        );

Cette modification est incluse dans le core de spip à partir de 2.1.11, et également dans spip3. La manipulation n’est donc pas nécessaire pour ces dernières versions.

Discussion

5 years 1 year 3 months Without limit
par date
Filter

4 discussions

  • 1
    Jérôme

    Merci pour ce plugin !

    Nous avons néanmoins eu besoin d’adapter le plugin pour qu’il fonctionne dans le cas d’une installation faite dans un sous-dossier (/site par exemple). Vous trouverez la documentation ici, si vous voulez l’intégrer ! Elle contient également des informations pour que cela fonctionne derrière un reverse proxy.

    • JLuc

      Merci.
      À défaut de l’intégrer au code, je l’intègre à la mémoire locale (= je recopie ici) :

      Le plugin redirhttps permet de forcer l’accès en HTTPS à la page de connexion ainsi qu’aux autres pages une fois connecté.

      Il peut néanmoins être intéressant de le modifier pour prendre en compte une installation dans un sous-dossier, non géré pour l’instant (v0.1.1). Une fois le plugin installé, modifiez le fichier plugin/redirhttps/redirhttps_options.php pour que la condition ressemble à ceci :

      if ((_request('page') == 'login' || isset($_COOKIE['spip_session']))
    && (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on')
    && $_SERVER['REQUEST_METHOD'] == 'GET') {

      Enfin, derrière un reverse proxy, il faudra modifier certaines variables utilisées par SPIP pour générer les URLs et par ce plugin pour déterminer si on accède à la page en HTTPS. Pour ce faire, vous pouvez créer un fichier conf/mes_options.php contenant les lignes suivantes :

      <?php
      /**
       * Récupération et définition des en-têtes données par le reverse proxy.
       */
      if (!empty($_SERVER['HTTP_X_FORWARDED_HOST']))
              $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
      if (!empty(      $_SERVER['HTTP_X_REAL_IP'])
          && (      filter_var($_SERVER['HTTP_X_REAL_IP'], FILTER_VALIDATE_IPFILTER_FLAG_IPV6) !== FALSE
                    || filter_var($_SERVER['HTTP_X_REAL_IP'], FILTER_VALIDATE_IPFILTER_FLAG_IPV4) !== FALSE))
              $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_REAL_IP'];
      if (!empty(      $_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
              $_SERVER['HTTPS'] = 'on';
              $_SERVER['SERVER_PORT'] = 443;
      }
      ?>

    Reply to this message

  • 1
    rrge

    bonjour
    est ce que ce plugin va etre adapté à spip 3.2?

    • Maïeul

      Salut,

      tu peux deja tester en modifiant dans paquet.xml

              compatibilite="[2.1.11;3.1.*]"

      par

              compatibilite="[2.1.11;3.2.*]"

      cela te permettrait d’actover le plugin. Si le plugin fonctionne bien, signale le nous.

    Reply to this message

  • Jaseur Boreal

    Bonjour,

    Depuis juillet 2016, TOUS les sites hébergés sur un serveur mutualisé chez OVH ont un certificat SSL (gratuit) activé sur l’hébergement (source).

    Cela signifie qu’il est probable qu’un site chez OVH soit maintenant accessible en HTTPS, même si on n’a rien prévu pour ça.

    Google cherchant à indexer et positionner en priorité la version HTTPS d’une page si elle est disponible, le site pourra être consulté en HTTPS même si on ne l’a pas demandé.

    2 solutions :

    • Soit garder son site en HTTP, pour quelques temps.
      Dans ce cas il est conseillé de désactiver SSL dans les paramètres de l’hébergement OVH, et de mettre en place les redirections HTTPS vers HTTP concernées.
    • Soit migrer complètement vers HTTPS

    Et dans cette situation, le plugin Redirection HTTPS ne redirige que quelques pages si j’ai bien tout compris : “passer automatiquement en HTTPS pour les pages contenant des informations privées (espace privé, login, crayons...)”

    Comment procéder pour passer tout un site Spip 3.1 en https sans erreurs ?

    Quelles sont les précautions à prendre ?

    Merci de vos conseils

    Reply to this message

  • thx11

    Plugin indispensable ! et bravo
    Cependant et sauf erreur, une fois que l’on s’est connecté tout le site (même les parties en accès public) reste en https et idem après déconnection.
    Dans mon cas c’est génant sur un point précis : j’ai un code de redirection dans une page publique.
    Comment faire pour annuler https juste sur cette page ou cette redirection ?

    Merci par avance

    Reply to this message

Add a comment

Avant de faire part d’un problème sur un plugin X, merci de lire ce qui suit :

  • Désactiver tous les plugins que vous ne voulez pas tester afin de vous assurer que le bug vient bien du plugin X. Cela vous évitera d’écrire sur le forum d’une contribution qui n’est finalement pas en cause.
  • Cherchez et notez les numéros de version de tout ce qui est en place au moment du test :
    • version de SPIP, en bas de la partie privée
    • version du plugin testé et des éventuels plugins nécessités
    • version de PHP (exec=info en partie privée)
    • version de MySQL / SQLite / PostgreSQL
  • Si votre problème concerne la partie publique de votre site, donnez une URL où le bug est visible, pour que les gens puissent voir par eux-mêmes.
  • En cas de page blanche, merci d’activer l’affichage des erreurs, et d’indiquer ensuite l’erreur qui apparait.

Merci d’avance pour les personnes qui vous aideront !

Par ailleurs, n’oubliez pas que les contributeurs et contributrices ont une vie en dehors de SPIP.

Who are you?
[Log in]

To show your avatar with your message, register it first on gravatar.com (free et painless) and don’t forget to indicate your Email addresse here.

Enter your comment here

This form accepts SPIP shortcuts {{bold}} {italic} -*list [text->url] <quote> <code> and HTML code <q> <del> <ins>. To create paragraphs, just leave empty lines.

Add a document

Follow the comments: RSS 2.0 | Atom