Forcer HTTPS au login

damien · 2006-07-07 10:57:58

bonjour,
Le mot de passe passant en clair sur le reseau lors de la connexion, j'ai essayé de reparé sa via la config de mon serveur web. Pour cela je force l'HTTPS sur la page de login, et (facultatif) je force le http sur la central :

Dans index.php, ajouter

if($_SERVER['SERVER_PORT'] != 443) die(header('Location: https://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));

Pour revenir en http classique apres la connexion, ajouter dans /front/central.php

if($_SERVER['SERVER_PORT'] != 80) die(header('Location: http://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));

Cela constitue-t-il une sécurtié correct vis a vis des mot de passe utilisateur ( ceux-ci etant ceux de mon annuaire LDAP et donc assez critique ) ?

tsmr · 2006-07-07 11:03:46

mais tu t'embete pour pas grand chose : configure ton apache pour qu'il fasse du 443..

damien · 2006-07-07 13:28:37

Le probleme c'est que si je fais que du 443, il me mettera une belle page d'erreur si y'a accede avec http.

D'ou la redirection, mais il y avait peut encore plus simple avec un htacces et :

RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]

Sa sa doit obligé d'activer le module rewrite pour apache sa.

D'autre solution ?

jm.cierniewski · 2006-09-15 09:21:57

Salut , j'ai exactement le méme probléme.
j'utilise xampp, j'ai ocs et glpi sur le meme apache, si je met apache en https, alors les clients ocs ne pourront plus remonter l'inventaire,
donc il faut vraiement que ce truc https marche pour le login

tsmr · 2006-09-15 09:41:14

jm.cierniewski wrote:

Salut , j'ai exactement le méme probléme.
j'utilise xampp, j'ai ocs et glpi sur le meme apache, si je met apache en https, alors les clients ocs ne pourront plus remonter l'inventaire,
donc il faut vraiement que ce truc https marche pour le login

Faux

je suis en https (j'ai 2 virtual host ocs et glpi en ssl) et mes clients remontent bien leurs inventaires..

jm.cierniewski · 2006-09-15 09:43:22

Bon j'ai modifié le fichier comme indiqué par damien dans son premier post.
Par contre est ce que quelqu'un sait comment on peut faire pour que quelqu'un qui essaie de se connecter en http soit renvoyé sur la page en https plustot que de se retrouver sur une page d'erreure ?
merci

JMD · 2006-09-15 14:12:45

Suffit de jouer avec le mode apache proxy par exemple.

Google est votre ami.

jm.cierniewski · 2006-09-15 14:28:26

probléme réglé...je m'étais gouré dans la ligne de mister damien

Forum GLPI-Project

Announcement

#1 2006-07-07 10:57:58

Forcer HTTPS au login

#2 2006-07-07 11:03:46

Re: Forcer HTTPS au login

#3 2006-07-07 13:28:37

Re: Forcer HTTPS au login

#4 2006-09-15 09:21:57

Re: Forcer HTTPS au login

#5 2006-09-15 09:41:14

Re: Forcer HTTPS au login

#6 2006-09-15 09:43:22

Re: Forcer HTTPS au login

#7 2006-09-15 14:12:45

Re: Forcer HTTPS au login

#8 2006-09-15 14:28:26

Re: Forcer HTTPS au login

Board footer