Archives de la liste a​i​d​e​@p​a​h​e​k​o​.c​l​o​u​d​

Accès SSL de Garradin chez Ouvaton

Pierre LASSALLE

03/03/2017 14:30:12

Je poursuis mes recherches pour résoudre l'accès en SSL du site :
https://asso.stoplinkynonmerci.org

Pour mémoire, le certificat SSL du site est installé, mais je n'arrive
pas à passer en mode administration en mode sécurisé.
Le cadenas du mot de passe reste ouvert, même si je force l'adresse
dans mon navigateur en tapant manuellement l'URL :
https://asso.stoplinkynonmerci.org/admin/login.php

J'ai constaté l'absence de déclaration dans le php.ini de mon site
de la variable $_SERVER['HTTPS'] = "on";
en affichant ce fichier avec phpinfo().

N'ayant pas accès au fichier php.ini de mon installation
pour y modifier la valeur de :
$_SERVER['HTTPS']
j'ai tenté de la forcer dans le fichier index.php du répertoire www de 
Garradin comme ceci :
===================
<?php

namespace Garradin;
$_SERVER['HTTPS'] = "on";

require __DIR__ . '/_inc.php';

$squelette = new Squelette;
$squelette->dispatchURI();
====================

Comme cela ne fonctionnait toujours pas, je l'ai également forcé dans le 
fichier _inc.php comme cela :
==================
<?php
namespace Garradin;
$_SERVER['HTTPS'] = "on";
require_once __DIR__ . '/../include/init.php';

?>
==================

Sans succès également.
Y-aurait-il un autre moyen en attendant que l'info-gérant modifie lui-même
le php.ini affecté à mon espace web ?

Re: Accès SSL de Garradin chez Ouvaton

Echecs Draguignan

03/03/2017 15:15:32

Bonjour Pierre,

Ce n'est pas aussi simple. Il y a une configuration côté serveur importante
à faire pour activer le SSL, veiller à sa mise à jour systématique et à une
sécurité d'un niveau adapté aux données avec lesquelles vous travaillez.

Je ne connais pas Ouvaton, et ses contraintes spécifiques pour les
applications hébergées, mais il doit y avoir un forum dédié sur lequel vous
aurez certainement plus de personnes ayant connu cette difficulté, ayant
trouvé une solution acceptable, et - peut-être - prêtes à vous aider avec
plus de précision.

Souvent, une configuration des vhosts est nécessaire, et vous n'y avez pas
toujours accès. Parfois certaines directives sont autorisées dans les
fichiers .htaccess mais pas toujours. En fait, chaque hébergeur a ses
recettes d'installation (pour rétablir un service rapidement, très utile)
et sa gestion de configuration (ou pas, fuyez), qui peuvent grandement
impacter la mise en place.

Plus rarement, certains hébergeurs proposent des installations déjà prêtes
pour les applications les plus utilisées, les plus utiles pour leur
clientèle... et surtout pour les personnes qui débutent et qui n'ont pas
toujours le bagage technique. Renseignez-vous.

Autre chose, d'importance : vous utiliserez le certificat de votre
hébergeur qui garantit l'identité de votre hébergeur, pas la vôtre (ou
celle d'autres serveurs sur la même infrastructure... parfois clean,
parfois pas clean du tout...).

Cordialement,


*Thierry BENDA*


*Animateur Ville de DraguignanAnimateur et Arbitre de la Fédération
Française des Échecs*
06 22 33 47 89
thbenda@gmail.com
www.jeu-echecs83.fr
www.echecs-draguignan.fr

Le 3 mars 2017 à 14:29, Pierre LASSALLE <pierre.lassalle@riseup.net> a
écrit :

> Je poursuis mes recherches pour résoudre l'accès en SSL du site :
> https://asso.stoplinkynonmerci.org
>
> Pour mémoire, le certificat SSL du site est installé, mais je n'arrive
> pas à passer en mode administration en mode sécurisé.
> Le cadenas du mot de passe reste ouvert, même si je force l'adresse
> dans mon navigateur en tapant manuellement l'URL :
> https://asso.stoplinkynonmerci.org/admin/login.php
>
> J'ai constaté l'absence de déclaration dans le php.ini de mon site
> de la variable $_SERVER['HTTPS'] = "on";
> en affichant ce fichier avec phpinfo().
>
> N'ayant pas accès au fichier php.ini de mon installation
> pour y modifier la valeur de :
> $_SERVER['HTTPS']
> j'ai tenté de la forcer dans le fichier index.php du répertoire www de
> Garradin comme ceci :
> ===================
> <?php
>
> namespace Garradin;
> $_SERVER['HTTPS'] = "on";
>
> require __DIR__ . '/_inc.php';
>
> $squelette = new Squelette;
> $squelette->dispatchURI();
> ====================
>
> Comme cela ne fonctionnait toujours pas, je l'ai également forcé dans
le
> fichier _inc.php comme cela :
> ==================
> <?php
> namespace Garradin;
> $_SERVER['HTTPS'] = "on";
> require_once __DIR__ . '/../include/init.php';
>
> ?>
> ==================
>
> Sans succès également.
> Y-aurait-il un autre moyen en attendant que l'info-gérant modifie
lui-même
> le php.ini affecté à mon espace web ?
>
> --
> Pierre
>

Re: Accès SSL de Garradin chez Ouvaton

Pierre LASSALLE

04/03/2017 00:31:26

Merci Thierry pour ces éclairages.
C'est effectivement en avançant cette installation que je découvre au 
fur et à mesure les difficultés
qu'elle représente chez Ouvaton apparemment parce que - contrairement à 
ce que je pensais -
je suis le premier à installer Garradin sur la plateforme.

J'aimerais tout de même bien que le mode sécurisé fonctionne correctement.
J'espère donc que l'intervention de l'info-gérant sera plus efficace que 
les tentatives
qui m'étaient accessibles.

Pierre


> Bonjour Pierre,
>
> Ce n'est pas aussi simple. Il y a une configuration côté serveur 
> importante à faire pour activer le SSL, veiller à sa mise à jour 
> systématique et à une sécurité d'un niveau adapté aux données avec 
> lesquelles vous travaillez.
>
> Je ne connais pas Ouvaton, et ses contraintes spécifiques pour les 
> applications hébergées, mais il doit y avoir un forum dédié sur lequel 
> vous aurez certainement plus de personnes ayant connu cette 
> difficulté, ayant trouvé une solution acceptable, et - peut-être - 
> prêtes à vous aider avec plus de précision.
>
> Souvent, une configuration des vhosts est nécessaire, et vous n'y avez 
> pas toujours accès. Parfois certaines directives sont autorisées dans 
> les fichiers .htaccess mais pas toujours. En fait, chaque hébergeur a 
> ses recettes d'installation (pour rétablir un service rapidement, très 
> utile) et sa gestion de configuration (ou pas, fuyez), qui peuvent 
> grandement impacter la mise en place.
>
> Plus rarement, certains hébergeurs proposent des installations déjà 
> prêtes pour les applications les plus utilisées, les plus utiles pour 
> leur clientèle... et surtout pour les personnes qui débutent et qui 
> n'ont pas toujours le bagage technique. Renseignez-vous.
>
> Autre chose, d'importance : vous utiliserez le certificat de votre 
> hébergeur qui garantit l'identité de votre hébergeur, pas la vôtre (ou

> celle d'autres serveurs sur la même infrastructure... parfois clean, 
> parfois pas clean du tout...).
>
> Cordialement,
>
> *Thierry BENDA
> *
> *Animateur Ville de Draguignan
> Animateur et Arbitre de la Fédération Française des Échecs
> *
> 06 22 33 47 89
> thbenda@gmail.com <mailto:thbenda@gmail.com>
> www.jeu-echecs83fr <http://www.jeu-echecs83.fr>
> www.echecs-draguignan.fr <http://www.echecs-draguignan.fr>
>
> Le 3 mars 2017 à 14:29, Pierre LASSALLE <pierre.lassalle@riseup.net 
> <mailto:pierre.lassalle@riseup.net>> a écrit :
>
>     Je poursuis mes recherches pour résoudre l'accès en SSL du site :
>     https://asso.stoplinkynonmerci.org
>     <https://asso.stoplinkynonmerci.org>
>
>     Pour mémoire, le certificat SSL du site est installé, mais je
n'arrive
>     pas à passer en mode administration en mode sécurisé.
>     Le cadenas du mot de passe reste ouvert, même si je force l'adresse
>     dans mon navigateur en tapant manuellement l'URL :
>     https://asso.stoplinkynonmerci.org/admin/login.php
>     <https://asso.stoplinkynonmerci.org/admin/login.php>
>
>     J'ai constaté l'absence de déclaration dans le php.ini de mon
site
>     de la variable $_SERVER['HTTPS'] = "on";
>     en affichant ce fichier avec phpinfo().
>
>     N'ayant pas accès au fichier php.ini de mon installation
>     pour y modifier la valeur de :
>     $_SERVER['HTTPS']
>     j'ai tenté de la forcer dans le fichier index.php du répertoire
>     www de Garradin comme ceci :
>     ===================
>     <?php
>
>     namespace Garradin;
>     $_SERVER['HTTPS'] = "on";
>
>     require __DIR__ '/_inc.php';
>
>     $squelette = new Squelette;
>     $squelette->dispatchURI();
>     ====================
>
>     Comme cela ne fonctionnait toujours pas, je l'ai également forcé
>     dans le fichier _inc.php comme cela :
>     ==================
>     <?php
>     namespace Garradin;
>     $_SERVER['HTTPS'] = "on";
>     require_once __DIR__ . '/../include/init.php';
>
>     ?>
>     ==================
>
>     Sans succès également.
>     Y-aurait-il un autre moyen en attendant que l'info-gérant modifie
>     lui-même
>     le php.ini affecté à mon espace web ?
>
>     -- 
>     Pierre
>
>

Re: Accès SSL de Garradin chez Ouvaton

BohwaZ/Garradin

05/03/2017 10:14:41

Hello Pierre,

Qu'est-ce que ça donne si tu crée un fichier config.local.php à la
racine de ton Garradin qui contiendrais :

<?php

$_SERVER['HTTPS'] = 'on';

?>

Je pense que ça devrait régler ton souci temporairement en attendant
que ton hébergeur corrige sa config.

Cordialement.

Re: Accès SSL de Garradin chez Ouvaton

Pierre LASSALLE

05/03/2017 14:50:37

> <?php
>
> $_SERVER['HTTPS'] = 'on';
>
> ?>
ça marche mieux !!!
Pour la première fois, le cadenas à coté du champ mot de passe passe au 
vert.
Si on tape dans le navigateur :
http://asso.stoplinkynonmerci.org/
puis clic sur Administration,
on obtient :
https://asso.stoplinkynonmerci.org/admin/login.php
Donc http a bien basculé sur https et le cadenas s'est fermé et est 
passé en vert.
En Saisissant Adresse E-Mail et Mot de passe,
On passe bien en Administration.
À la déconnexion on revient à :
https://asso.stoplinkynonmerci.org

*Deuxième expérience :*
Une fois, déconnecté, taper dans le navigateur directement :
http://asso.stoplinkynonmerci.org/admin/login.php
Malgré le http:// dans l'adresse, le cadenas est fermé et en vert.
Une fois les identifiants saisis, on aboutit à :
https://asso.stoplinkynonmerci.org/admin/

Tout cela me paraît plutôt bien.
Par ailleurs, si étant déconnecté, on tape :
http://asso.stoplinkynonmerci.org
La page d'accueil s'affiche en conservant l'adresse :
http://asso.stoplinkynonmerci.org
affichée dans le navigateur.

Mais dès qu'on clique sur un des liens de cette page tel que
https://asso.stoplinkynonmerci.org/Stop-Linky-Non-Merci/
on voit que ce lien reconduit automatiquement à une page
en https.

Ce comportement me semble donc bien meilleur.

Qu'en pensez-vous ?

Faut-il modifier htaccess dans le dossier www et comment pour que
http://asso.stoplinkynonmerci.org soit automatiquement redirigé
vers https://asso.stoplinkynonmerci.org de sorte qu'au moment où la page 
s'affiche,
on ait bien dans la barre d'adresse
https://asso.stoplinkynonmerci.org
ou la sécurité est-elle satisfaisante comme cela ?

Un dernier point
Dès la réception du message me suggérant de créer le fichier 
config.local.php
je l'ai mis en place sans vérifier si le site fonctionnait toujours 
comme décrit auparavant,
sachant qu'une demande était en cours pour que l'infogérant ajoute
$_SERVER['HTTPS'] = 'on';
dans le php.ini du site

Subitement pris d'un doute, j'ai donc masqué config.local.php
en le rebaptisant config.local~.php par Ftp
pour voir si cela revenait dans l'état antérieur.
Effectivement c'est le cas.
J'en déduis que c'est bien l'ajout de ce fichier qui a résolu le
problème.

Pensez-vous que dans l'état présent, l'installation est correcte ?


Merci beaucoup pour l'aide apportée. Je crois qu'on touche au but.

Pierre

Re: Accès SSL de Garradin chez Ouvaton

BohwaZ/Garradin

06/03/2017 20:54:40

Le 06/03/2017 02:50, Pierre LASSALLE a écrit :
>> <?php
>> 
>> $_SERVER['HTTPS'] = 'on';
>> 
>> ?>
>  ça marche mieux !!!
>  Pour la première fois, le cadenas à coté du champ mot de passe
> passe au vert.

Cool :)

>  Faut-il modifier htaccess dans le dossier www et comment pour que
>  http://asso.stoplinkynonmerci.org [7] soit automatiquement redirigé
>  vers https://asso.stoplinkynonmerci.org [3] de sorte qu'au moment où
> la page s'affiche,
>  on ait bien dans la barre d'adresse
>  https://asso.stoplinkynonmerci.org [3]
>  ou la sécurité est-elle satisfaisante comme cela ?

Tu peux ajouter dans config.local.php la ligne suivante (avant "?>") et 
ça te redirigera toujours sur la version HTTPS :

define('Garradin\PREFER_HTTPS', 3);

L'explication des différentes valeurs possibles :

// Doit-on suggérer à l'utilisateur d'utiliser la version chiffrée du 
site ?
// 1 ou true = affiche un message de suggestion sur l'écran de connexion 
invitant à utiliser le site chiffré
// (conseillé si vous avez un certificat auto-signé ou peu connu type 
CACert)
// 2 = rediriger automatiquement sur la version chiffrée pour 
l'administration
// 3 = rediriger automatiquement sur la version chiffrée pour 
administration et site public
// false ou 0 = aucune version chiffrée disponible, donc ne rien 
proposer ni rediriger

Re: Accès SSL de Garradin chez Ouvaton

Pierre LASSALLE

06/03/2017 23:21:28

>>  Faut-il modifier htaccess dans le dossier www et comment pour que
>>  http://asso.stoplinkynonmerci.org [7] soit automatiquement redirigé
>>  vers https://asso.stoplinkynonmerci.org [3] de sorte qu'au moment
où
>> la page s'affiche,
>>  on ait bien dans la barre d'adresse
>>  https://asso.stoplinkynonmerci.org [3]
>>  ou la sécurité est-elle satisfaisante comme cela ?
>
> Tu peux ajouter dans config.local.php la ligne suivante (avant "?>")

> et ça te redirigera toujours sur la version HTTPS :
>
> define('Garradin\PREFER_HTTPS', 3);
>
> L'explication des différentes valeurs possibles :
>
> // Doit-on suggérer à l'utilisateur d'utiliser la version chiffrée du

> site ?
> // 1 ou true = affiche un message de suggestion sur l'écran de 
> connexion invitant à utiliser le site chiffré
> // (conseillé si vous avez un certificat auto-signé ou peu connu type 
> CACert)
> // 2 = rediriger automatiquement sur la version chiffrée pour 
> l'administration
> // 3 = rediriger automatiquement sur la version chiffrée pour 
> administration et site public
> // false ou 0 = aucune version chiffrée disponible, donc ne rien 
> proposer ni rediriger
>
Merci beaucoup !
J'ai intégré define('Garradin\PREFER_HTTPS', 3);
dans le fichier config.local.php
ce qui me donne maintenant ceci dans le fichier config.local.php
<?php

$_SERVER['HTTPS'] = 'on';
define('Garradin\PREFER_HTTPS', 3); // 3 = rediriger automatiquement sur 
la version chiffrée pour administration et site public

?>

Mais je n'ai pas vu de différence.
Quand je tape http://asso.stoplinkynonmerci.org dans la barre d'adresse 
URL de mon navigateur,
il n'est pas redirigé vers : https://asso.stoplinkynonmerci.org

Re: Accès SSL de Garradin chez Ouvaton

BohwaZ/Garradin

06/03/2017 23:32:44

>  Mais je n'ai pas vu de différence.
>  Quand je tape http://asso.stoplinkynonmerci.org [1] dans la barre
> d'adresse URL de mon navigateur,
>  il n'est pas redirigé vers : https://asso.stoplinkynonmerci.org [2]

C'est parce que tu as forcé $_SERVER['HTTPS'] à 'on', et que
c'est ce 
qui sert à Garradin pour détecter si tu es en HTTP ou en HTTPS. Là pour 
Garradin tu es déjà en HTTPS. Garradin n'a aucun autre moyen de savoir 
si tu es en HTTP ou en HTTPS.

La seule différence que ça fait c'est que tous tes liens seront en HTTPS 
maintenant.

Mais tant que ton hébergeur ne corrige pas sa config, impossible de 
faire mieux. Quand il aura corrigé tu pourra enlever la ligne :

$_SERVER['HTTPS'] = 'on';

Et tout fonctionnera correctement.

Cordialement.

Re: Accès SSL de Garradin chez Ouvaton

Pierre LASSALLE

06/03/2017 23:58:16

>>  Mais je n'ai pas vu de différence.
>>  Quand je tape http://asso.stoplinkynonmerci.org [1] dans la barre
>> d'adresse URL de mon navigateur,
>>  il n'est pas redirigé vers : https://asso.stoplinkynonmerci.org [2]
>
> C'est parce que tu as forcé $_SERVER['HTTPS'] à 'on',
et que c'est ce 
> qui sert à Garradin pour détecter si tu es en HTTP ou en HTTPS. Là 
> pour Garradin tu es déjà en HTTPS. Garradin n'a aucun autre moyen de 
> savoir si tu es en HTTP ou en HTTPS.
>
> La seule différence que ça fait c'est que tous tes liens seront en 
> HTTPS maintenant.
>
> Mais tant que ton hébergeur ne corrige pas sa config, impossible de 
> faire mieux. Quand il aura corrigé tu pourra enlever la ligne :
>
> $_SERVER['HTTPS'] = 'on';
>
> Et tout fonctionnera correctement.
Merci beaucoup pour ta patience et ta disponibilité à
m'aider à débrouiller ces aspects sécurité qui sont importants pour nous.