Obszar administracyjny Drupal i logowanie, Zabezpieczanie ich za pomocą HTTPS

15

Dużo o tym czytałem i wypróbowałem wiele metod, które znalazłem i jeszcze nie byłem w stanie zapewnić prawidłowego działania.

Chcę mieć możliwość zabezpieczenia obszaru administratora i powiązanych stron logowania. Tak więc wszystko w example.com/admin/* lub example.com/user/* itd., Musi przejść przez SSL / TLS. Chcemy, aby dotyczyło to każdej witryny z konfiguracją obejmującą wiele witryn. Tak więc example1.com, example2.com, example3.com znajdują się na tym samym koncie serwer / użytkownik.

Ustawić

  • Drupal 7 multi site
  • Czyste adresy URL włączone
  • PHP 5.3
  • MySQL v14 d5
  • Apache 2

Notatki

  • Securepages nie jest opcją, ponieważ nie ma stabilnej wersji Drupal 7, a używanie istniejącej wersji deweloperskiej wymaga łatania Drupal Core, co jest sprzeczne z naszymi zasadami
  • Próbowałem sesji 443 bez powodzenia
  • Próbowałem bezpiecznego logowania bez powodzenia
  • Certyfikat SSL (na razie samopodpisany, podczas testowania) jest zainstalowany i działa na serwerze do innych celów, ale nie Drupal.
  • Przeczytałem wszystkie dokumenty na Drupal.org dotyczące włączania HTTPS i starałem się postępować zgodnie z instrukcjami tam z niewielkim powodzeniem
  • Zmieniłem ustawienie $ conf ['https'] w settings.php bez widocznych wyników.

Pytania

Jeśli włączę HTTPS dla wszystkiego w witrynie, dostanę 404 za wszystko, co próbuje przejść przez https: //, co prowadzi mnie do wniosku, że reguły przepisywania nie mają zastosowania do stron https. Czego tu brakuje? Czy jest jakiś przepis / zasada, którą mogę dodać do htaccess, aby to naprawić?

Czy to nie jest rozwiązany problem w społeczności Drupal? Czy ludzie po prostu opuszczają swoje obszary administracyjne niezabezpieczone, a hasła użytkowników są wysyłane w sposób wyraźny? Trudno mi w to uwierzyć, ale wydaje się, że nie ma wbudowanego ani powszechnie znanego rozwiązania problemu.

Kevin
źródło
Dobre pytanie. Przeczytałeś ten? drupal.stackexchange.com/questions/23149/…
underound
Drupal powinien działać bez problemu zarówno na http, jak i https. Domyślam się, że twój problem polega na konfiguracji Apache (być może strona SSL wskazuje inny DocumentRoot). Czy możesz przesłać swoją konfigurację Apache i .htaccess Drupala do dalszej analizy?
por
@undersound Dziękujemy. Tak, przeczytałem to. Jesteśmy naprawdę zainteresowani zabezpieczeniem wszystkich zadań administracyjnych za pośrednictwem HTTPS, a nie tylko logowaniem.
KevinL
2
Prawdopodobnie najlepszym rozwiązaniem jest przetestowanie i przesunięcie dwóch wymaganych poprawek w celu zatwierdzenia. Obaj mają aktualizacje z tego tygodnia ...
squarecandy

Odpowiedzi:

4

To nie jest pytanie, które zadałeś, ale najprostsza odpowiedź brzmi: po prostu zmień swoje zasady.

Rdzeń „hakerski” (łatanie go) i uruchamianie niestabilnych wydań to rzeczywistość prowadzenia strony internetowej.

Dwie poprawki potrzebne do bezpiecznych stron często wymagają ponownych rzutów, recenzji lub ulepszeń. Zaangażuj się w ten cykl i pomóż im utrzymać stabilność.

greggles
źródło
0

Użyłem następujących ustawień, ściągnij to ... i nie potrzebowałem do tego modułu. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

I voooala !! spowoduje to, że cały ruch http będzie przesyłany przez https, w tym zasoby takie jak js i css. Jeśli chcesz poddomen, pamiętaj o dodaniu odpowiednich dyrektyw ServerAlias ​​w pliku (plikach) vhosts.

John R.
źródło
0

Używam modułu Ubercart SSL, który jest fantastycznym modułem, choć ma straszną nazwę . Zdajesz nie muszą być uruchomione Ubercart , aby skorzystać z tego modułu, który jest bardzo stabilny i łatwy w użyciu.

Shai
źródło