Re: Installation SPIP HTTPS front + back
Salut à tous,
Le 8 juillet 2008 09:09, klaus++ <
klaus <at> spip.de> a écrit :
Effectivement il y a encore des adresses "http" codées en dur dans la version svn d 5 juillet et qui risquent de poser problème:
Pendant qu'on y est, et vu que le problème vient d'être soulevé :
pourrait-on faire en sorte que la partie privée seule utilise SSL ?
Ça résoudrait pas mal de critiques de sécurité.
.Gilles
--
charger.php
ligne 92
'url_site' => "http://",
signature.php
ligne 20
'signature_url_site'=>'http://',
site.php
ligne 17
return array('nom_site'=>'','url_site'=>'http://','description_site'=>'');
formulaire_admin.php
ligne 177
function admin_valider()
{
global $xhtml;
return (( <at> $xhtml !== 'true') ?
(parametre_url(self(), 'var_mode', 'debug', '&')
.'&var_mode_affiche=validation') :
('http://validator.w3.org/check?uri='
. rawurlencode("http://" . $_SERVER['HTTP_HOST'] . nettoyer_uri())));
}
relayeur.php
ligne 52
$encours = "<label for='http_proxy'>" . ($http_proxy ? $http_proxy : "http://proxy:8080") . '</label>' ;
aide_index.php
ligne 195
Line 195 : $html = preg_replace(' <at> <a href="(http://[^"]+)"([^>]*)> <at> ', '<a href="\\1"\\2 target="_blank">', $html);
sites_edit.php
lignes 16, 101, 102, 165, 100
ne devrait pas poser problème
valider_xml.php
ligne 32
$url_aff = 'http://';
distant.php
lignes 170, 171
// Accepter les URLs au format feed:// ou qui ont oublie le http://
$url = preg_replace(',^feed://,i', 'http://', $url);
if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;
feedfinder.php
ligne 105
if (!preg_match("/^http:\/\/.*/", $url)) $url = "http://www." . $url;
ligne 198
$url = str_replace("http:/", "http://", $url
joindre.php
ligne 102
"</label><br />\n\t<input name='url' id='url' class='fondo' value='http://' />" .
referenceurs.php
lignes 75
$ret .= "\n<a href=\"http://".$lesurls[$numero]."\"><img src=\"$source_vignettes".rawurlencode($lesurls[$numero])."\"\nstyle=\"float: $spip_lang_right; margin-bottom: 3px; margin-left: 3px;\" alt='' /></a>";
ligne 88
$bouton .= "<a href='http://".quote_amp($lesurls[$numero])."' style='font-weight: bold;'>".$dom."</a>"
ligne 103
$lien = "<a href='http://".$dom."'>".$dom."</a>";
site.php
ligne 22
$url = preg_replace(',^feed://,i', 'http://', $url);
ligne 23
if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;
texte.php
ligne 667
$lien = "http://".$lien;
ligne 1228
$l = inserer_attribut(expanser_liens('[->http://'.$l.']'),'rel', 'nofollow');
ligne 1232
$l = str_replace('>http://', '>', $l);
virtualiser.php
ligne 21
. ($virtuel ? "" : "http://")
analyser_dtd.php
ligne 142
AND !preg_match("%^http://%", $n[1])) {
Voilà tout ce que j'ai trouvé. Malheureusement je n'ai pas le temps de faire toutes les vérifications moi-même. Peut-être cette petite liste vous sera utile.
klaus++
Nicolas Steinmetz schrieb:
Thomas Beaumanoir wrote:
Je relance avec une petite précision, il semble que #URL_PAGE retourne
toujours une URL en HTTP et non basée sur le protocole utilisé dans le
meta adresse_site.
Quelqu'un connait une astuce pour s'en sortir ?
Une petite redirection apache de tout le traffic sur http en https ?
++
Nico
<div>
<p>Salut à tous,<br><br></p>
<div class="gmail_quote">Le 8 juillet 2008 09:09, klaus++ <<a href="mailto:klaus <at> spip.de">klaus <at> spip.de</a>> a écrit :<br><blockquote class="gmail_quote">
Effectivement il y a encore des adresses "http" codées en dur dans la version svn d 5 juillet et qui risquent de poser problème:<br>
</blockquote>
<div>
<br><br>
Pendant qu'on y est, et vu que le problème vient d'être soulevé :
pourrait-on faire en sorte que la partie privée seule utilise SSL ?<br>
Ça résoudrait pas mal de critiques de sécurité.<br><br>
.Gilles<br>--<br> </div>
<blockquote class="gmail_quote">
<br><br>
charger.php<br>
ligne 92<br>
'url_site' => "http://",<br><br><br>
signature.php<br>
ligne 20<br>
'signature_url_site'=>'http://',<br><br><br>
site.php<br>
ligne 17<br>
return array('nom_site'=>'','url_site'=>'http://','description_site'=>'');<br><br><br>
formulaire_admin.php<br>
ligne 177<br>
function admin_valider()<br>
{<br>
global $xhtml;<br><br>
return (( <at> $xhtml !== 'true') ?<br>
(parametre_url(self(), 'var_mode', 'debug', '&')<br>
.'&var_mode_affiche=validation') :<br>
('<a href="http://validator.w3.org/check?uri=" target="_blank">http://validator.w3.org/check?uri=</a>'<br>
. rawurlencode("http://" . $_SERVER['HTTP_HOST'] . nettoyer_uri())));<br>
}<br><br><br>
relayeur.php<br>
ligne 52<br>
$encours = "<label for='http_proxy'>" . ($http_proxy ? $http_proxy : "<a href="http://proxy:8080" target="_blank">http://proxy:8080</a>") . '</label>' ;<br><br><br>
aide_index.php<br>
ligne 195<br>
Line 195 : $html = preg_replace(' <at> <a href="(http://[^"]+)"([^>]*)> <at> ', '<a href="\\1"\\2 target="_blank">', $html);<br><br><br>
sites_edit.php<br>
lignes 16, 101, 102, 165, 100<br>
ne devrait pas poser problème<br><br><br>
valider_xml.php<br>
ligne 32<br>
$url_aff = 'http://';<br><br><br>
distant.php<br>
lignes 170, 171<br>
// Accepter les URLs au format feed:// ou qui ont oublie le http://<br>
$url = preg_replace(',^feed://,i', 'http://', $url);<br>
if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;<br><br><br>
feedfinder.php<br>
ligne 105<br>
if (!preg_match("/^http:\/\/.*/", $url)) $url = "<a href="http://www" target="_blank">http://www</a>." . $url;<br>
ligne 198<br>
$url = str_replace("http:/", "http://", $url<br><br><br>
joindre.php<br>
ligne 102<br>
"</label><br />\n\t<input name='url' id='url' class='fondo' value='http://' />" .<br><br><br>
referenceurs.php<br>
lignes 75<br>
$ret .= "\n<a href=\"http://".$lesurls[$numero]."\"><img src=\"$source_vignettes".rawurlencode($lesurls[$numero])."\"\nstyle=\"float: $spip_lang_right; margin-bottom: 3px; margin-left: 3px;\" alt='' /></a>";<br>
ligne 88<br>
$bouton .= "<a href='http://".quote_amp($lesurls[$numero])."' style='font-weight: bold;'>".$dom."</a>"<br>
ligne 103<br>
$lien = "<a href='http://".$dom."'>".$dom."</a>";<br><br><br>
site.php<br>
ligne 22<br>
$url = preg_replace(',^feed://,i', 'http://', $url);<br>
ligne 23<br>
if (!preg_match(',^[a-z]+://,i', $url)) $url = 'http://'.$url;<br><br><br>
texte.php<br>
ligne 667<br>
$lien = "http://".$lien;<br>
ligne 1228<br>
$l = inserer_attribut(expanser_liens('[->http://'.$l.']'),'rel', 'nofollow');<br>
ligne 1232<br>
$l = str_replace('>http://', '>', $l);<br><br><br>
virtualiser.php<br>
ligne 21<br>
. ($virtuel ? "" : "http://")<br><br><br>
analyser_dtd.php<br>
ligne 142<br>
AND !preg_match("%^http://%", $n[1])) {<br><br><br>
Voilà tout ce que j'ai trouvé. Malheureusement je n'ai pas le temps de faire toutes les vérifications moi-même. Peut-être cette petite liste vous sera utile.<br><br>
klaus++<br><br><br><br><br>
Nicolas Steinmetz schrieb:<div class="Ih2E3d">
<br><blockquote class="gmail_quote">
Thomas Beaumanoir wrote:<br><br><blockquote class="gmail_quote">
Je relance avec une petite précision, il semble que #URL_PAGE retourne<br>
toujours une URL en HTTP et non basée sur le protocole utilisé dans le<br>
meta adresse_site.<br><br>
Quelqu'un connait une astuce pour s'en sortir ?<br>
</blockquote>
<br>
Une petite redirection apache de tout le traffic sur http en https ?<br><br>
++<br>
Nico<br><br><br>
</blockquote>
</div>
<div>
<div></div>
<div class="Wj3C7c">
_______________________________________________<br>
liste: <a href="http://listes.rezo.net/mailman/listinfo/spip-dev" target="_blank">http://listes.rezo.net/mailman/listinfo/spip-dev</a><br>
doc: <a href="http://www.spip.net/" target="_blank">http://www.spip.net/</a><br>
dev: <a href="http://trac.rezo.net/trac/spip/" target="_blank">http://trac.rezo.net/trac/spip/</a><br>
irc://<a href="http://irc.freenode.net/spip" target="_blank">irc.freenode.net/spip</a><br>
</div>
</div>
</blockquote>
</div>
<br>
</div>
RSS Feed