[gepi-users] Interdire acces HTTP

Thomas BELLIARD thomas.belliard at free.fr
Lun 26 Mar 00:20:36 CEST 2007 

Bonsoir,

Il y a deux solutions pour forcer le https sans avoir accès à la config, 
mais aucune n'est garantie à 100%, car elles dépendent beaucoup de la 
configuration du serveur sur lequel est hébergé Gepi.

La première solution consiste à utiliser le Rewrite Engine par le biais 
d'un .htaccess. Contrainte (et de taille) : il faut que ça soit autorisé 
dans la configuration du serveur.

Seconde solution : se baser sur certaines variables serveur, qui 
indiquent si l'on utilise HTTPS ou non. C'est entre autre cette méthode 
qui est utilisée pour afficher un message d'avertissement à 
l'administrateur lorsqu'il est connecté à Gepi sans cryptage. 
Malheureusement cette méthode n'est pas fiable à 100%. En effet si Gepi 
est installé derrière un proxy par exemple, la variable porteuse de 
l'information sur le type d'accès n'est pas forcément la même. Et cette 
information n'est pas toujours transmise correctement (ça dépend de la 
configuration du proxy).

J'imagine que l'on pourrait intégrer ce genre de fonctionnalité dans 
Gepi, mais pour que ça s'adapte à toutes les situations il faudra 
permettre par exemple la spécification de la variable serveur à analyser 
et la valeur attendue. Ca me semble casser un peu la logique de Gepi qui 
veut que toute opération effectuée par l'interface demeure relativement 
intuitive et simple, même pour l'administrateur.
Donc la logique voudrait quand même que ce type de paramétrage se fasse 
au niveau du serveur, et pas au niveau de l'application. Enfin on va 
voir ce qu'on peut faire :)

Thomas

BenjyNet a écrit :
> Le problème c'est que j'ai pas accès à la configuration du serveur. GEPI 
> se trouve sur le serveur académique. Le fichier .htaccess serait une 
> solution favorable pour autoriser ou non l'accès en http ou https. 
> Serait-il possible aux developpeurs d'intégrer une option dans la 
> gestion des connexions pour autoriser les différents types d'accès 
> (comme c'est le cas sur l'administration des routeurs). D'ailleurs, le 
> fichier à modifier, est-ce celui situé dans /secure ?
> Merci et bonne soirée.
> Ben
> 
> Benoit Castagnetto a écrit :
>> Bonjour,
>>
>> Dans ton fichier de configuration apache il suffit d'indiquer deux 
>> répertoire différents.
>> Par exemple, /var/www pour le http et /var/wwws pour https
>> Tu places ensuite les fichiers GEPI dans /var/wwws puis tu redémarres 
>> apache.
>>
>>
>>
>> BenjyNet wrote:
>>> Bonjour,
>>> Un peitt mail poursavoir s'il est possible simplement d'interdire 
>>> l'acces en http à gepi, sachant que je peux y accéder en http et 
>>> https. Boen évidement pour des raisons de sécurité il vaut mieux le 
>>> https mais je n'ai pas accès au parametrage du serveur.
>>> Si vous avez une suggestion ce serait sympatique (moi je pensais au 
>>> fichier .htaccess)
>>> Merci et @bientot
>>> Ben
>>>
>>>
>>> ------------------------------------------------------------------------
>>>
>>> _______________________________________________
>>> gepi-users mailing list
>>> gepi-users at lists.adullact.net
>>> https://lists.adullact.net/mailman/listinfo/gepi-users
>>
>>
>> ------------------------------------------------------------------------
>>
>> _______________________________________________
>> gepi-users mailing list
>> gepi-users at lists.adullact.net
>> https://lists.adullact.net/mailman/listinfo/gepi-users
>>   
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> gepi-users mailing list
> gepi-users at lists.adullact.net
> https://lists.adullact.net/mailman/listinfo/gepi-users

Plus d'informations sur la liste de diffusion gepi-users