8 Jul 09:16
Re: Installation SPIP HTTPS front + back
From: Gilles Vincent <gilles.vincent <at> gmail.com>
Subject: Re: Installation SPIP HTTPS front + back
Newsgroups: gmane.comp.web.spip.devel
Date: 2008-07-08 07:16:12 GMT
Subject: Re: Installation SPIP HTTPS front + back
Newsgroups: gmane.comp.web.spip.devel
Date: 2008-07-08 07:16:12 GMT
Salut à tous,
Le 8 juillet 2008 09:09, klaus++ <klaus <at> spip.de> a écrit :
Pendant qu'on y est, et vu que le problème vient d'être soulevé : pourrait-on faire en sorte que la partie privée seule utilise SSL ?
Ça résoudrait pas mal de critiques de sécurité.
.Gilles
--
Effectivement il y a encore des adresses "http" codées en dur dans la version svn d 5 juillet et qui risquent de poser problème:
Pendant qu'on y est, et vu que le problème vient d'être soulevé : pourrait-on faire en sorte que la partie privée seule utilise SSL ?
Ça résoudrait pas mal de critiques de sécurité.
.Gilles
--
charger.php
ligne 92
'url_site' => "http://",
signature.php
ligne 20
'signature_url_site'=>'http://',
site.php
ligne 17
return array('nom_site'=>'','url_site'=>'http://','description_site'=>'');
formulaire_admin.php
ligne 177
function admin_valider()
{
global $xhtml;
return (( <at> $xhtml !== 'true') ?
(parametre_url(self(), 'var_mode', 'debug', '&')
.'&var_mode_affiche=validation') :
('http://validator.w3.org/check?uri='
. rawurlencode("http://" . $_SERVER['HTTP_HOST'] . nettoyer_uri())));
}
relayeur.php
ligne 52
$encours = "<label for='http_proxy'>" . ($http_proxy ? $http_proxy : "http://proxy:8080") . '</label>' ;
aide_index.php
ligne 195
Line 195 : $html = preg_replace(' <at> <a href="(http://[^"]+)"([^>]*)> <at> ', '<a href="\\1"\\2 target="_blank">', $html);
sites_edit.php
lignes 16, 101, 102, 165, 100
ne devrait pas poser problème
valider_xml.php
ligne 32
$url_aff = 'http://';
distant.php
lignes 170, 171
// Accepter les URLs au format feed:// ou qui ont oublie le http://
$url = preg_replace(',^feed://,i', 'http://', $url);
if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;
feedfinder.php
ligne 105
if (!preg_match("/^http:\/\/.*/", $url)) $url = "http://www." . $url;
ligne 198
$url = str_replace("http:/", "http://", $url
joindre.php
ligne 102
"</label><br />\n\t<input name='url' id='url' class='fondo' value='http://' />" .
referenceurs.php
lignes 75
$ret .= "\n<a href=\"http://".$lesurls[$numero]."\"><img src=\"$source_vignettes".rawurlencode($lesurls[$numero])."\"\nstyle=\"float: $spip_lang_right; margin-bottom: 3px; margin-left: 3px;\" alt='' /></a>";
ligne 88
$bouton .= "<a href='http://".quote_amp($lesurls[$numero])."' style='font-weight: bold;'>".$dom."</a>"
ligne 103
$lien = "<a href='http://".$dom."'>".$dom."</a>";
site.php
ligne 22
$url = preg_replace(',^feed://,i', 'http://', $url);
ligne 23
if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;
texte.php
ligne 667
$lien = "http://".$lien;
ligne 1228
$l = inserer_attribut(expanser_liens('[->http://'.$l.']'),'rel', 'nofollow');
ligne 1232
$l = str_replace('>http://', '>', $l);
virtualiser.php
ligne 21
. ($virtuel ? "" : "http://")
analyser_dtd.php
ligne 142
AND !preg_match("%^http://%", $n[1])) {
Voilà tout ce que j'ai trouvé. Malheureusement je n'ai pas le temps de faire toutes les vérifications moi-même. Peut-être cette petite liste vous sera utile.
klaus++
Nicolas Steinmetz schrieb:Thomas Beaumanoir wrote:Je relance avec une petite précision, il semble que #URL_PAGE retourne
toujours une URL en HTTP et non basée sur le protocole utilisé dans le
meta adresse_site.
Quelqu'un connait une astuce pour s'en sortir ?
Une petite redirection apache de tout le traffic sur http en https ?
++
Nico
_______________________________________________
liste: http://listes.rezo.net/mailman/listinfo/spip-dev
doc: http://www.spip.net/
dev: http://trac.rezo.net/trac/spip/
irc://irc.freenode.net/spip
<div> <p>Salut à tous,<br><br></p> <div class="gmail_quote">Le 8 juillet 2008 09:09, klaus++ <<a href="mailto:klaus <at> spip.de">klaus <at> spip.de</a>> a écrit :<br><blockquote class="gmail_quote"> Effectivement il y a encore des adresses "http" codées en dur dans la version svn d 5 juillet et qui risquent de poser problème:<br> </blockquote> <div> <br><br> Pendant qu'on y est, et vu que le problème vient d'être soulevé : pourrait-on faire en sorte que la partie privée seule utilise SSL ?<br> Ça résoudrait pas mal de critiques de sécurité.<br><br> .Gilles<br>--<br> </div> <blockquote class="gmail_quote"> <br><br> charger.php<br> ligne 92<br> 'url_site' => "http://",<br><br><br> signature.php<br> ligne 20<br> 'signature_url_site'=>'http://',<br><br><br> site.php<br> ligne 17<br> return array('nom_site'=>'','url_site'=>'http://','description_site'=>'');<br><br><br> formulaire_admin.php<br> ligne 177<br> function admin_valider()<br> {<br> global $xhtml;<br><br> return (( <at> $xhtml !== 'true') ?<br> (parametre_url(self(), 'var_mode', 'debug', '&')<br> .'&var_mode_affiche=validation') :<br> ('<a href="http://validator.w3.org/check?uri=" target="_blank">http://validator.w3.org/check?uri=</a>'<br> . rawurlencode("http://" . $_SERVER['HTTP_HOST'] . nettoyer_uri())));<br> }<br><br><br> relayeur.php<br> ligne 52<br> $encours = "<label for='http_proxy'>" . ($http_proxy ? $http_proxy : "<a href="http://proxy:8080" target="_blank">http://proxy:8080</a>") . '</label>' ;<br><br><br> aide_index.php<br> ligne 195<br> Line 195 : $html = preg_replace(' <at> <a href="(http://[^"]+)"([^>]*)> <at> ', '<a href="\\1"\\2 target="_blank">', $html);<br><br><br> sites_edit.php<br> lignes 16, 101, 102, 165, 100<br> ne devrait pas poser problème<br><br><br> valider_xml.php<br> ligne 32<br> $url_aff = 'http://';<br><br><br> distant.php<br> lignes 170, 171<br> // Accepter les URLs au format feed:// ou qui ont oublie le http://<br> $url = preg_replace(',^feed://,i', 'http://', $url);<br> if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;<br><br><br> feedfinder.php<br> ligne 105<br> if (!preg_match("/^http:\/\/.*/", $url)) $url = "<a href="http://www" target="_blank">http://www</a>." . $url;<br> ligne 198<br> $url = str_replace("http:/", "http://", $url<br><br><br> joindre.php<br> ligne 102<br> "</label><br />\n\t<input name='url' id='url' class='fondo' value='http://' />" .<br><br><br> referenceurs.php<br> lignes 75<br> $ret .= "\n<a href=\"http://".$lesurls[$numero]."\"><img src=\"$source_vignettes".rawurlencode($lesurls[$numero])."\"\nstyle=\"float: $spip_lang_right; margin-bottom: 3px; margin-left: 3px;\" alt='' /></a>";<br> ligne 88<br> $bouton .= "<a href='http://".quote_amp($lesurls[$numero])."' style='font-weight: bold;'>".$dom."</a>"<br> ligne 103<br> $lien = "<a href='http://".$dom."'>".$dom."</a>";<br><br><br> site.php<br> ligne 22<br> $url = preg_replace(',^feed://,i', 'http://', $url);<br> ligne 23<br> if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;<br><br><br> texte.php<br> ligne 667<br> $lien = "http://".$lien;<br> ligne 1228<br> $l = inserer_attribut(expanser_liens('[->http://'.$l.']'),'rel', 'nofollow');<br> ligne 1232<br> $l = str_replace('>http://', '>', $l);<br><br><br> virtualiser.php<br> ligne 21<br> . ($virtuel ? "" : "http://")<br><br><br> analyser_dtd.php<br> ligne 142<br> AND !preg_match("%^http://%", $n[1])) {<br><br><br> Voilà tout ce que j'ai trouvé. Malheureusement je n'ai pas le temps de faire toutes les vérifications moi-même. Peut-être cette petite liste vous sera utile.<br><br> klaus++<br><br><br><br><br> Nicolas Steinmetz schrieb:<div class="Ih2E3d"> <br><blockquote class="gmail_quote"> Thomas Beaumanoir wrote:<br><br><blockquote class="gmail_quote"> Je relance avec une petite précision, il semble que #URL_PAGE retourne<br> toujours une URL en HTTP et non basée sur le protocole utilisé dans le<br> meta adresse_site.<br><br> Quelqu'un connait une astuce pour s'en sortir ?<br> </blockquote> <br> Une petite redirection apache de tout le traffic sur http en https ?<br><br> ++<br> Nico<br><br><br> </blockquote> </div> <div> <div></div> <div class="Wj3C7c"> _______________________________________________<br> liste: <a href="http://listes.rezo.net/mailman/listinfo/spip-dev" target="_blank">http://listes.rezo.net/mailman/listinfo/spip-dev</a><br> doc: <a href="http://www.spip.net/" target="_blank">http://www.spip.net/</a><br> dev: <a href="http://trac.rezo.net/trac/spip/" target="_blank">http://trac.rezo.net/trac/spip/</a><br> irc://<a href="http://irc.freenode.net/spip" target="_blank">irc.freenode.net/spip</a><br> </div> </div> </blockquote> </div> <br> </div>
RSS Feed