Zone d'administration et connexion Drupal, sécurisation avec HTTPS

15

J'ai beaucoup lu à ce sujet et essayé de nombreuses méthodes que j'ai trouvées et je n'ai pas encore réussi à faire fonctionner correctement quoi que ce soit.

Je veux pouvoir sécuriser la zone d'administration et les pages de connexion associées. Donc, tout ce qui se trouve dans example.com/admin/* ou example.com/user/* etc., doit passer par SSL / TLS. Nous aimerions que cela s'applique à chaque site avec la configuration multisite. Ainsi example1.com, example2.com, example3.com sont tous sur le même serveur / compte utilisateur.

La mise en place

  • Drupal 7 multi site
  • Nettoyer les URL activées
  • PHP 5.3
  • MySQL v14 d5
  • Apache2

Remarques

  • Securepages n'est pas une option, car il n'y a pas de version stable de Drupal 7, et l'utilisation de la version de développement existante nécessite de patcher Drupal Core, ce qui va à l'encontre de notre politique
  • J'ai essayé la session 443 sans succès
  • J'ai essayé Secure Login sans succès
  • Un certificat SSL (auto-signé pour l'instant, pendant les tests) est installé et fonctionne sur le serveur à d'autres fins, mais pas Drupal.
  • J'ai lu tous les documents sur Drupal.org sur l'activation de HTTPS et j'ai essayé de suivre les instructions là-bas avec peu de succès
  • J'ai basculé le paramètre $ conf ['https'] dans settings.php sans résultat discernable.

Questions

Si j'active HTTPS pour tout sur un site, j'obtiens un 404 pour tout ce qui tente de passer par https: //, ce qui m'amène à penser que les règles de réécriture ne s'appliquent pas aux pages https. Qu'est-ce que j'oublie ici? Existe-t-il une condition / règle de réécriture que je peux ajouter à htaccess pour résoudre ce problème?

N'est-ce pas un problème résolu dans la communauté Drupal? Les gens quittent-ils simplement leurs zones d'administration non sécurisées, les mots de passe des utilisateurs étant envoyés en clair? Je trouve cela difficile à croire, mais il semble qu'il n'y ait pas de solution intégrée ou communément connue au problème.

KevinL
la source
Bonne question. Vous avez lu celui-ci? drupal.stackexchange.com/questions/23149/…
underound
Drupal devrait fonctionner sans problème sur http et https. Je suppose que votre problème réside dans la configuration d'Apache (peut-être que le site SSL pointe vers un autre DocumentRoot). Pourriez-vous s'il vous plaît poster votre configuration Apache et le .htaccess de Drupal pour une analyse plus approfondie?
par
@undersound Merci. Oui, j'ai lu celui-là. Nous souhaitons vraiment sécuriser toutes les tâches administratives via HTTPS, pas seulement l'événement de connexion.
KevinL
2
Le meilleur pari est probablement d'aider à tester et à pousser les deux correctifs essentiels vers l'approbation. Ils ont tous les deux des mises à jour de cette semaine ...
squarecandy

Réponses:

4

Ce n'est pas la question que vous avez posée, mais la réponse la plus simple est que vous devez simplement modifier votre politique.

"Hacker" le noyau (le patcher) et exécuter des versions instables est la réalité de la gestion d'un site Web.

Les deux correctifs nécessaires pour les pages sécurisées nécessitent fréquemment des relances, des révisions ou des améliorations. Participez à ce cycle et aidez-les à se stabiliser.

greggles
la source
0

J'ai utilisé les paramètres suivants pour retirer cela ... et je n'avais pas besoin d'un module pour le faire. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

Et voooala !! cela fera voyager tout le trafic http via https, y compris des ressources comme js et css. Si vous souhaitez des sous-domaines, assurez-vous d'ajouter les directives ServerAlias ​​appropriées dans le ou les fichiers vhosts.

John R
la source
0

J'utilise le module Ubercart SSL qui est un module fantastique, bien qu'il porte un nom horrible . Vous n'avez pas besoin d'exécuter Ubercart pour profiter de ce module qui est très stable et facile à utiliser.

Shai
la source