Carnet Wiki

SPIP avec ecrire en https://

Version 2 — May 2015 erational

archive de la page
http://nicolas.dandrea.free.fr/SPIP/article.php3?id_article=64.

en cache google:
http://webcache.googleusercontent.com/search?q=cache:AldveFmTpCwJ:nicolas.dandrea.free.fr/SPIP/article.php3%3Fid_article%3D64+&cd=5&hl=fr&ct=clnk&gl=fr

---

Spip : l’espace privé “/ecrire/” sous HTTPS

Nous allons nous pencher sur la “sécurisation” de l’espace privé de Spip via l’utilisation d’HTTPS.


-  Première étape : Apache avec le support SSL

Il nous faut installer “mod_ssl” sur notre Apache ou “ApacheSSL” ; c’est la seconde option que je choisie ici).
Sous notre Debian Sarge adorée :

# apt-get install apache-ssl

et voilà le travail !

- Deuxième étape : “/ecrire/” sous HTTPS

On va utiliser le mod_alias d’Apache.
Éditons le fichier de conf d’Apache “/etc/apache/httpd.conf”.

Le module Alias est-il chargé : dans mon cas je vérifie la présence de la ligne “LoadModule alias_module” dans “/etc/apache/modules.conf” (inclu dans le httpd.conf).
Ajoutons les lignes suivantes au niveau de notre VirtualHost [1] Spip

RedirectMatch permanent ^/ecrire/(.*)$ https://host.domaine/ecrire/$1
RedirectMatch permanent ^/spip_login.php3(.*)$ https://host.domaine/spip_login.php3$1

- Troisième étape : pauffiner la mise en oeuvre
Il ne nous reste plus qu’à tenir compte des retours vers le site public (les “voir en ligne”) : en effet, là se pose le problème du recalcul des pages, qui se fait à présent sous HTTPS et pas sous HTTP (cf. le système de cache de Spip).
Dans la conf d’ApacheSSL “/etc/apache-ssl/httpd.conf” :

RedirectMatch permanent ^/spip_redirect.php3(.*)$ http://host.domaine/spip_redirect.php3$1

Et voilà ! Sniffeurs, Sniffeuses à vos mouchoirs, le mot de passe de l’admin est plus dur à trouver maintenant !

Allez voir également un article sur le sujet, qui vous sera sûrement d’une grande utilité...

- Le p’tit Plus :

Si vous avez tout une ribambelle de site sous Spip dans votre VirtualHost (genre http://host.domaine/spip1/ http://host.domaine/spip2/ ...), rien de plus simple :

dans “/etc/apache/httpd.conf”

RedirectMatch permanent ^/(.*)/ecrire/(.*)$ https://host.domaine/$1/ecrire/$2
RedirectMatch permanent ^/(.*)/spip_login.php3(.*)$ https://host.domaine/$1/spip_login.php3$2
dans “/etc/apache-ssl/httpd.conf” :

RedirectMatch permanent ^/(.*)/spip_redirect.php3(.*)$ http://host.domaine/$1/spip_redirect.php3$2

Tout pareil en somme !

[1] Pourquoi ne pas faire les choses correctement pour une fois... les hôtes virtuels, c’est du tout beau, tout propre ! Utilisez-les !!!