[RESOLU] Sécurisation du site pour le Login et le paiement

Nouvelle génération du moteur osCSS
téléchargement osCSS 2.x.x

[RESOLU] Sécurisation du site pour le Login et le paiement

Messagepar moody_styley » Mar 11 Oct 2011, 18:33

Bonjour,

Je viens d'installer la dernière version d'osCSS : 2.1.0 pre-RC f sur mon ubuntu 11.04 avec tous les patchs, PHP5 et MySQL5, et j'ai un problème avec la sécurité SSL sur le template electronix.

Je m'explique, j'ai activé dans /includes/configure.php le SSL :
Code: Tout sélectionner
  define('HTTP_SERVER', 'http://www.monserveur.com'); // eg, http://localhost - should not be empty for productive servers
  define('HTTPS_SERVER', 'https://www.monserveur.com'); // eg, https://localhost - should not be empty for productive servers
  define('ENABLE_SSL', true); // secure webserver for checkout procedure?


Et là j'ai plusieurs soucis :
1- Le choix de la devise se fait toujours en https, et je n'arrive pas à le désactiver...
2- Le lien sur l'icône 'Mon Compte' est en http au lieu de https comme le suggère le code du template dans /template/electronix/ssheader.php :
Code: Tout sélectionner
   <li><a id="GoLogin" href="<?php echo tep_href_link(FILENAME_ACCOUNT,'','SSL') ?>" class="nav4"><?php echo PAGE_ACCOUNT ?></a></li>

3- Dès que l'on passe sur une page en https, tous les liens dans la colonne de gauche sont en https et non plus en http.
4- Le seul lien qui apparait validé pour le https correctement est dans la phrase d'accueil 'Bienvenue visiteur ! Voulez vous ouvrir une session ? Ou préférez vous créer un compte ?'.
Le lien 'ouvrir une session' est le seul qui soit proposé en https avec le site actif sur du http, et pourtant le code dans le fichier /includes/functions/general.php parait identique sur l'appel de la procédure tep_href_link() :
Code: Tout sélectionner
      $greeting_string = sprintf(TEXT_GREETING_GUEST, tep_href_link(FILENAME_LOGIN, '', 'SSL'), tep_href_link(FILENAME_CREATE_ACCOUNT, '', 'SSL'));

L'autre lien 'créer un compte' ne propose que du http, alors que c'est le même appel de procédure qui est fait avec les mêmes arguments.
Y-a-t-il un endroit où sont recensé les pages que l'on veut faire apparaître en https ?

Pouvez-vous me donner un petit coup de main pour comprendre pourquoi sur les lien où on défini 'SSL', il n'y a pas obligatoirement du 'https' ?
Je cherche à formater mon site pour faire du https uniquement quand on veut se loguer/créer un compte, ainsi que de la commande une fois logué, mais du http le reste du temps si on est pas logué.

Merci d'avance pour votre aide.
Dernière édition par moody_styley le Mer 10 Oct 2012, 14:05, édité 1 fois.
moody_styley
Membre actif
 
Messages: 69
Inscription: Ven 29 Mai 2009, 17:12

Re: Sécurisation du site pour le Login et le paiement

Messagepar oscim » Mer 12 Oct 2011, 09:48

bonjour

Dans la logique lors de l'activation du https, celui est appliqué dan sla mesure ou un utilisateur est connecté.

Soit, le formulaire de login soit celuid e cerationde compte doit lui renvoyer en https.

Une fois connceté, les liens sont en general passé en https, de même que les url des image afin d'eviter des alerte de la part du navigateur.

En gros une fois en https, si certaine url ou image sont resté en http, tu a soit "Attention la connexion securisé n'est que parteille", soit attention vous sortez du mode securisé.
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Sécurisation du site pour le Login et le paiement

Messagepar moody_styley » Ven 21 Oct 2011, 12:45

Salut Oscim,

Merci pour ta réponse rapide, mais j'ai pas eu le temps de toucher terre depuis la semaine dernière et donc de voir ta réponse.

Pour le fait que tout soit en "https" une fois logué dans ce mode, c'est plus un soucis, fallait juste que je le sache...

Par contre, comment se fait-il que quand je suis en "http", les liens définissant une connexion 'SSL' dans la même page ne réagissent pas de la même manière ?
Comme je l'ai décris, quand je passe la souris sur l'icône de la bannière "Mon compte", il apparaît toujours dans l'affichage du lien "http", et quand je passe la souris sur "ouvrir une session" dans l'encadré principal, là je vois bien un lien en "https".
Pourtant, les liens sont définis de la même manière avec le même appel de procédure....

Merci de ton aide.
moody_styley
Membre actif
 
Messages: 69
Inscription: Ven 29 Mai 2009, 17:12

Re: Sécurisation du site pour le Login et le paiement

Messagepar oscim » Ven 21 Oct 2011, 12:50

Hello

En fait, Ca fait longtemps, et j'ai un doute ...

mais dans ce cas, jette un oeuil au debut de la class page, du coté public. Dans le consrtucteur, il me semble qu'une definition de page sensible existe.

mais la comme ca, je ne sait plus comment ca marche. Je sais que certain sitye son en https, est qu'il y avait eu un petit soucis lors de l'install. Ce qui n'a pas l'air le cas pour toi.

Cf http://dev.oscss.org/task/809
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Re: Sécurisation du site pour le Login et le paiement

Messagepar moody_styley » Ven 21 Oct 2011, 16:08

Bonjour Oscim,

Merci de ta réponse super rapide, je vais voir du côté des variables globales de la page.

Pour ce qui est des devises, j'ai fait un petit arrangement dans le script de /var/www/<monsite>/templates/electronix/includes/gabarit/box.currencies.gab pour deux raisons :
1- Si on change plusieurs fois de devise, on affichait dans l'URL plusieurs "?currency=XXX" et ça partait en sucette pour le changement. Alors j'ai tronqué l'URL d'un "?currency=XXX" à chaque nouvel affichage si besoin est.
2- Si on est pas en https, je force l'appel à tep_href_link() avec la variable 'NONSSL' pour éviter un passage en https inattendu lors du changement de devise si on est pas loggué.
Voici le code :

Code: Tout sélectionner
  <?php foreach($currencies_array as $k=>$item): ?>

<?php /** #### Original code for currency change ####
    <a href="<?php echo tep_href_link(basename($_SERVER['REQUEST_URI']), 'currency='.$item['id']) ?>"  class="<?php if($currency==$item['id']) echo 'Selected' ?>"><?php echo $item['symbol'] ?></a>
*/ ?>

<?php /** #### New currency change code #### */ ?>
    <?php $baseURI=stristr(basename($_SERVER['REQUEST_URI']), '?currency', true) ?>
    <?php if ($baseURI == '') $baseURI=basename($_SERVER['REQUEST_URI']) ?>
    <a href="<?php if ($_SERVER["HTTPS"] == "on")
  {
    echo tep_href_link($baseURI, 'currency='.$item['id']);
  }
else
  {
    echo tep_href_link($baseURI, 'currency='.$item['id'], 'NONSSL');
  }
 ?>" class="<?php if($currency==$item['id']) echo 'Selected' ?>"><?php echo $item['symbol'] ?></a>
<?php /** #### End of New currency change code #### */ ?>

  <?php endforeach; ?>


Si tu trouves des choses à redire, n'hésites pas. Je recherche pendant ce temps là sur les pistes que tu m'as donné.

Merci encore et bon WE.
moody_styley
Membre actif
 
Messages: 69
Inscription: Ven 29 Mai 2009, 17:12

M

Messagepar moody_styley » Ven 21 Oct 2011, 17:06

Re-Bonjour Oscim,

J'ai vérifié dans le fichier /var/www/monsite.com/includes/classes/page.php, et il y a bien une définition de pages nécessitant une sécurisation (avec l'utilisation de la variable FILENAME_LOGIN).
J'ai donc ajouté les 2 pages qui m'intéressaient : FILENAME_CREATE_ACCOUNT et FILENAME_CREATE_ACCOUNT_SUCCESS.
Mais même là, après un petit F5 sur l'accueil du site, je n'obtient toujours pas les liens sur ces 2 pages affichés en https.
Quand je clique dessus, pas de problème, c'est bien du https, mais le lien proposé reste par défaut du http....
Avec les SEO Urls, l'affichage n'est pas correct je pense...

Moi y'en a plus savoir ce qui se passe là dedans ????

Merci pour ton aide.
moody_styley
Membre actif
 
Messages: 69
Inscription: Ven 29 Mai 2009, 17:12

Re: Sécurisation du site pour le Login et le paiement

Messagepar moody_styley » Ven 21 Oct 2011, 17:12

Encore moa,

Aussi, je cherche à pouvoir retourner dans les pages du site sans https si je ne me suis pas loggué où créé un compte.
Par exemple, tu cliques sur la création d'un compte et donc tu passes logiquement sur une page en https, mais si finalement tu cliques pour revenir sur l'accueil (sans faire un back mais par le breadcrumb par exemple ou tout autre lien), et bien tu restes en https alors que je m'attendrais à revenir en http tant que je ne suis pas loggué.

Qu'en penses-tu ?

Merci encore pour ton aide sur ce sujet.
moody_styley
Membre actif
 
Messages: 69
Inscription: Ven 29 Mai 2009, 17:12

Re: Sécurisation du site pour le Login et le paiement

Messagepar oscim » Ven 21 Oct 2011, 17:19

Hep

Logiquement ta page create_account ne doit pas être en https.

Tu t'y connecte en http, comme la page login

Une fois la creation de compte effectué, une redirection à lieux, vers la page create_accoutn_success. C'est a ce moment que tu dois être en https.

Cette redirection est effectué par la page create_account,citué à la racine .

Si la creation echoue, ou si tu fait retour , tu retombe sur le http.

La gestion du https est relitavement complexe, pour que celle ci ce comporte de maniere coherante.

Il faut que le flag https soit actif, et que le liens contienent la precision de https; Il faut en outre , des le passage en https, que l’ensemble des ressource de la page soit aussi en https, sans quoi tu aura une alerte de securité par le navigateur.

Ceci explique le comportement qui te semble inattendu. Mais comme dit plus haut, theoriquement le mode https fonctionne correctement sur la structure , et ceux, même avec des page que tu ajouterai en plus.
Je te dis theoriquement, car je peu avoir laissé une erreur, cela dis, je ne croix pas. En tous les cas , pas sur login / creation de compte.
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

[Résolu] Re: Sécurisation du site pour le Login et le paiement

Messagepar moody_styley » Jeu 10 Nov 2011, 16:29

Salut Oscim,

Bon, j'ai laissé configuré OsCss 2 comme par défaut pour le SSL, j'ai juste modifié 1 où 2 petits trucs pour le lien vers la boutique ainsi que pour les devises car dans ces 2 cas, on passe automatiquement en https sans vraiment savoir pourquoi dès que l'on active l'utilisation du SSL.
J'ai juste vérifié dans ces deux cas si l'on est en https et dans ce cas là uniquement, on continue bien en https.

Merci encore pour ton aide sur ce sujet.
moody_styley
Membre actif
 
Messages: 69
Inscription: Ven 29 Mai 2009, 17:12

Re: Sécurisation du site pour le Login et le paiement

Messagepar oscim » Jeu 10 Nov 2011, 18:26

Yep


En fait, la gestion du ssl reste quelque cgose de pas si simple. J'avais fait comme toi au debut, genre , ben ca marche pas?! c'est bizzare.

Mais plusieur chose entre en ligne de compte, les redirection, tu bascule en https apres, les forumalires , qui peuvent initaliser la connexion ..etc..
Cela dit, en prod est c'est ok

Mais de rien :)
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33


Retourner vers Bug / Aides [fr]

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités

cron