Sécuriser un espace web

Message par **dricfr** » ven. 27 juil. 2012 09:49

Salut,

j'ai un espace web mutualisé chez un prestataire.
une connexion via ssl est possible.
il y a un nom de domaine associé à l'espace en question, mais pour pouvoir utiliser le certificat fourni il faut utiliser l'adresse réelle de l'hébergement sur le serveur.
L'idée est de rentre cet espace totalement privé avec obligation de s'authentifier

Du coup, je me suis lancé dans l'écriture d'un .htaccess qui réécrit l'adresse lors de l'accès à l'hébergement et aussi redirige toutes les requpêtes du port 80 sur le port 443 :

[cpp]
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://adresse/relle/$1 [R,L]
[/cpp]

Et pour verrouiller l'espace, j'ai mis une authentification avec .htpasswd

Mais voilà, si on va sur la site via www.mondomaine.xxx il faut s'authentifier deux fois ( j'imagine que le .htaccess s'excuse complètement avant d'effectuer la redirection).

Bon, j'aimerai savoir s'il n'y aurait pas des scripts php ( ou perl ou autre) qui feraient ça tout aussi bien et surtout qui m'assurerait de la qualité du code, plutôt que de me lancer dans une customisation hasardeuse de la configuration apache du serveur ( j'ai des notions et je sais que l'écriture de règles d'accès notamment nécessite une bonne dose de rigueur et qu'il faut savoir exactement où on va).

Enfin, au final, l'idée est de pouvoir exploiter différente application php de galerie, forum.
Ce pose alors la question du nom de domaine qui reste de poser problème. Lors des installation, faut-il que je rentre l'adresse via le nom de domaine ou via le nom réel ? J'ai peur que ce nom réel ne vienne à changer... mais si j'utilise le nom de domaine, il y a une alerte sur le certificat ssl ce qui n'est pas terrible.

Merci de vos avis.

@++

Message par **Zedoune** » ven. 27 juil. 2012 10:00

Salut

Je n'ai rien compris ^^

Message par **kevin_server** » ven. 27 juil. 2012 12:28

Le certificat SSL est fourni par qui? L'hébergeur ou toi? Si tu as une alerte au niveau du SSL c'est qu'il n'est pas signé par une autorité valable. Si tu as la main sur le SSL (donc que tu peux injecter ton SSL), utilise http://www.startssl.com/ qui te permettras de créer un SSL valide (sauf sur téléphone ou tu a tous de même l'alerte).

Message par **dricfr** » ven. 27 juil. 2012 16:40

Salut,

tout est fourni par l'hébergeur !

Zplay > Même pas un petit bout ? Snif ?

Message par **kevin_server** » ven. 27 juil. 2012 19:47

Si j'ai bien compris, tu as un nom de domaine http://domaine.com (par exemple) et le serveur te donne quelque chose comme https://X.X.X.X/~domaine.com?

Message par **dricfr** » ven. 27 juil. 2012 20:19

Yep !

C'est un hébergement classique avec un nom du genre http://urlPasBelle/~compte/
Et c'est sur cette adresse que le certificat SSL fournit par le fouisseur est fixée.
Si j'utilise https://monJoliDomaine.com il y a une alerte comme quoi le certificat n'est pas valide.

@++

Message par **kevin_server** » ven. 27 juil. 2012 20:53

Ok, tu as une alerte car le certificat est fait pour le domaine urlPasBelle. Toutes tes applications qui utiliserons le SSL devrons donc avoir le chemin d'accès urlPasBelle/~compte/. En théorie, cette url ne devrais pas changer temps que ton hébergement est actif.

Si j'ai bien compris, tu veux que quand l'utilisateur navigue sur ton site, puis clique sur connexion (par exemple), il sois rediriger sur le https://urlPasBelle/~compte/connexion/ ?

Message par **dricfr** » sam. 28 juil. 2012 10:47

Salut,

Oui voilà, quelque chose comme ça, sachant que la connexion doit elle même être sécurisée ( bien sûr) et que c'est tout le site qui doit l'être ( c'est un espace complètement privé).

Merci

Message par **kevin_server** » sam. 28 juil. 2012 11:23

Sans la main sur apache c'est assez compliqué à gérer.

Il me semble que j'ai compris ce que tu veux. Un simple index.html avec une redirection qui pointe sur https://urlPasBelle/~compte/connexion/ ne conviendrait pas? Ton index.html serait sur http://domaine.com et pointerais donc sur quelque chose comme http://domaine.com/connexion (mais avec le SSL, ce serait https://urlPasBelle/~compte/connexion/). Après sans la main sur apache, tu seras obligé de bricoler, tu n'auras rien de top je pense.

Ou alors, si c'est une appli PHP faite maison, tu peux faire quelque chose comme:
[cpp]
if($_SERVER['HTTPS'] == 'on'){
// La connexion est en SSL donc affichage du formulaire de connexion
}else{
// La connexion n'est pas en SSL donc redirection vers SSL
header('Location: https://urlPasBelle/~compte/');
}
[/cpp]

Message par **Zedoune** » sam. 28 juil. 2012 22:40

Je vois qu'une seule solution, et même pas sur que ça marche

. Utiliser un reverse proxy qui utilise le certificat SSL avec la jolie url et qui appelle l'urlpasbelle.

Tu es obligé que le nom de domaine soit le même pour le navigateur que dans le certificat, sinon, ben c'est normal que ça t'envoie chier, t'es pas sur le site du certificat !

Message par **dricfr** » dim. 29 juil. 2012 12:24

Zplay < Ouaip je me doute bien, mais je croyais que la réécriture d'url permettais que ce soit transparent pour l'utilisateur mais en fait pas du tout... pfiu ça faisait un moment que je n'avais plus touché à ça ^^'

kevin_server > Merci, effectivement je pense que je vais faire un truc du genre.