Voir aussi l’article SPIP public et privé en https://
archive de la page
http://nicolas.dandrea.free.fr/SPIP/article.php3?id_article=64.
en cache google :
http://webcache.googleusercontent.com/search?q=cache:AldveFmTpCwJ:nicolas.dandrea.free.fr/SPIP/article.php3%3Fid_article%3D64+&cd=5&hl=fr&ct=clnk&gl=fr
— -
Spip : l’espace privé « /ecrire/ » sous HTTPS
Nous allons nous pencher sur la « sécurisation » de l’espace privé de Spip via l’utilisation d’HTTPS.
- Première étape : Apache avec le support SSL
Il nous faut installer « mod_ssl » sur notre Apache ou « ApacheSSL » ; c’est la seconde option que je choisie ici).
Sous notre Debian Sarge adorée :
# apt-get install apache-ssl
et voilà le travail !
- Deuxième étape : « /ecrire/ » sous HTTPS
On va utiliser le mod_alias d’Apache.
Éditons le fichier de conf d’Apache « /etc/apache/httpd.conf ».
Le module Alias est-il chargé : dans mon cas je vérifie la présence de la ligne « LoadModule alias_module » dans « /etc/apache/modules.conf » (inclu dans le httpd.conf).
Ajoutons les lignes suivantes au niveau de notre VirtualHost [1] Spip
RedirectMatch permanent ^/ecrire/(.*)$ https://host.domaine/ecrire/$1
RedirectMatch permanent ^/spip_login.php3(.*)$ https://host.domaine/spip_login.php3$1
- Troisième étape : pauffiner la mise en oeuvre
Il ne nous reste plus qu’à tenir compte des retours vers le site public (les « voir en ligne ») : en effet, là se pose le problème du recalcul des pages, qui se fait à présent sous HTTPS et pas sous HTTP (cf. le système de cache de Spip).
Dans la conf d’ApacheSSL « /etc/apache-ssl/httpd.conf » :
RedirectMatch permanent ^/spip_redirect.php3(.*)$ http://host.domaine/spip_redirect.php3$1
Et voilà ! Sniffeurs, Sniffeuses à vos mouchoirs, le mot de passe de l’admin est plus dur à trouver maintenant !
Allez voir également un article sur le sujet, qui vous sera sûrement d’une grande utilité...
- Le p’tit Plus :
Si vous avez tout une ribambelle de site sous Spip dans votre VirtualHost (genre http://host.domaine/spip1/ http://host.domaine/spip2/ ...), rien de plus simple :
dans « /etc/apache/httpd.conf »
RedirectMatch permanent ^/(.*)/ecrire/(.*)$ https://host.domaine/$1/ecrire/$2
RedirectMatch permanent ^/(.*)/spip_login.php3(.*)$ https://host.domaine/$1/spip_login.php3$2
dans « /etc/apache-ssl/httpd.conf » :
RedirectMatch permanent ^/(.*)/spip_redirect.php3(.*)$ http://host.domaine/$1/spip_redirect.php3$2
Tout pareil en somme !
[1] Pourquoi ne pas faire les choses correctement pour une fois... les hôtes virtuels, c’est du tout beau, tout propre ! Utilisez-les !!!