Portée SSL avec PHP [résolu]

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Portée SSL avec PHP [résolu]

Messagepar Romu » 01 Juin 2005 14:58

Bonjour,


Je développe des services Web en PHP/Oracle.


Linuxien novice, je viens d'installer, pour test, un serveur Web Apache sous la distribution Sarge...

J'ai activé le mode SSL sur mon serveur, mais,novice en la matière, je rencontre quelques petits soucis...

Mon site web est formé de 2 parties, une première accessible tout public en HTTP et une seconde privée (avec authentification php) que je ne souhaiterai accessible qu'en HTTPS.

J'ai correctement configuré mon certificat provisoire et le mode HTTPS fonctionne correctement mais le hic c'est que je voudrai que mes pages privées ne soient accessibles qu'en mode sécurisé et actuellement toutes les pages (sous réserve d'être authentifié) sont accessible en HTTP...

J'espère avoir été limpide dans mon explication et je souhaite qu'on m'aide à résoudre ce pb...


Merci d'avance :wink:
Dernière édition par Romu le 01 Juin 2005 18:00, édité 1 fois au total.
Romu
Romu
Matelot
Matelot
 
Messages: 7
Inscrit le: 23 Nov 2004 10:54

Messagepar frost » 01 Juin 2005 15:36

Regarde dans les directives SSL (la documentation !!! la doc !!!)

la doc est trés bien faite, en plus google est ton ami

http://ist.uwaterloo.ca/security/lib-proxy/howto/ssleay/apache.html
Frost
------------------------------
Ipcop Addict
------------------------------
Avatar de l’utilisateur
frost
Contre-Amiral
Contre-Amiral
 
Messages: 465
Inscrit le: 28 Fév 2004 01:00
Localisation: Arras

Messagepar Geoffroy_jojo » 01 Juin 2005 15:38

moi, j'ai créé des virtual host, et autorisé uniquement les connections SSL dans un dossier, et libre dans les autres :
Code: Tout sélectionner
<VirtualHost servweb:443>
   ServerName 192.168.3.1
   SSLEnable
   DocumentRoot /var/www/https/
</VirtualHost>
<VirtualHost servweb:80>
   ServerName 192.168.3.1
   SSLDisable
   DocumentRoot /var/www/http/
</VirtualHost>
«Microsoft ce n'est pas la réponse, Microsoft c'est la question et la réponse est non!»
Geoffroy_jojo
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Déc 2004 16:57
Localisation: aix en provence

Messagepar Romu » 01 Juin 2005 16:15

Super, merci beaucoup !

En fait, c'est beaucoup plus simple que je ne le pensais...

Quelquefois, on se met des barrières tout seul...


Juste une petite dernière... parce que je veux être sûr d'avoir bien compris....

Le hôtes virtuels me permettent de définir les zones sécurisées ou non, mais l'appel d'une URL dans une de ces zones me fait basculer automatiquement dans le bon protocole (HTTP ou HTTPS) ? C'est bien ça ?


Merci :D
Romu
Romu
Matelot
Matelot
 
Messages: 7
Inscrit le: 23 Nov 2004 10:54

Messagepar Geoffroy_jojo » 01 Juin 2005 16:51

si tu tapes : https:// ==> ssl
si tu tapes : http:// ==> non_sécure

et voui, si tu fai un lien de ta zone httpS du style : http://pouet.htm, tu ne sera plus sécurisé et ta connection sera visible clairement, et inversement
«Microsoft ce n'est pas la réponse, Microsoft c'est la question et la réponse est non!»
Geoffroy_jojo
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Déc 2004 16:57
Localisation: aix en provence

Messagepar Romu » 01 Juin 2005 17:19

euh, non, c'est pas tout à fait ça que je voulais dire.... :wink:


Dans mon code, les URL ne contiennent pas le protocole utilisé, c'est du relatif....

Autrement dit, si je fais un bouton dans ma page d'accueil publique(http://www.exemple.com/public/accueil.htm) censé pointer vers la page d'authentification de ma partie privée (https://www.exemple.com/prive/authentification.htm), ça donne : <a href="../prive/authentification.htm">mon bouton</a>

Ma question est : "Ai-je bien compris si je pense que faire un lien vers le dossier prive (déclaré comme hôte virtuel en SSL Active dans Apache) me fera basculer automatiquement en mode secure et inversement ?"


Merci :D
Romu
Romu
Matelot
Matelot
 
Messages: 7
Inscrit le: 23 Nov 2004 10:54

Messagepar Geoffroy_jojo » 01 Juin 2005 17:23

la meilleure solution à mon humble avis ...
tester :lol:

tu met tout tes fichier sur ton serveur apache, tu va dans la aprtie non-sécure et tu clic sur le lien vers le sécure, tu verra bien si un piti cadenas ou une clé (suivant ton navigateur) apparait, si ca apparait, "you win" ^^
sinon, you cry
si ca ne marche pas, met ton url en dur : "https://"
«Microsoft ce n'est pas la réponse, Microsoft c'est la question et la réponse est non!»
Geoffroy_jojo
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 05 Déc 2004 16:57
Localisation: aix en provence

Messagepar frost » 01 Juin 2005 17:34

A tout moment tu peux forcer quelqu'un qui est en http à passer dans un dossier qui doit être en https, inversement un dossier qui n'est pas inclu dans ta directive SSL te fera passer en http classique, est ce que cela répond à ta question ?
Frost
------------------------------
Ipcop Addict
------------------------------
Avatar de l’utilisateur
frost
Contre-Amiral
Contre-Amiral
 
Messages: 465
Inscrit le: 28 Fév 2004 01:00
Localisation: Arras

Messagepar Romu » 01 Juin 2005 18:00

:D Ce sourire en dit long !!

Merci, ça répond effectivement à mon interrogation...

Y'a plus qu'à... :wink:
Romu
Romu
Matelot
Matelot
 
Messages: 7
Inscrit le: 23 Nov 2004 10:54


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron