Proteger página de login com SSL?
Ewout ter Haar
ewout at usp.br
Sun Nov 18 18:47:28 BRST 2012
Compramos um certificado válido para o nosso domínio, e gostaríamos
proteger as senhas dos nossos usuários.
A minha pergunta é: posso simplesmente forçar o uso de https somente para
as páginas /account/* por meio de regras deste tipo em <VirtualHost *:443> :
RewriteEngine On
RewriteCond %{HTTPS} on
RewriteCond %{REQUEST_URI} !^/plugin/stoa/authenticate/
RewriteCond %{REQUEST_URI} !^/account/(.*)
RewriteRule ^(.*)$ http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
SSLEngine On, etc.
Isto funcionaria?
Outras informações:
Existe este ticket
http://noosfero.org/Development/ActionItem438
mas acho que não reflete a realidade (não é verdade que noosfero faz isto:
"always require SSL under /account and /myprofile/" )
Rodamos thin atras de apache atras de varnish.
O Rodrigo sugeriu investigar rodar o site inteiro usando https. Teria que
colocar pound em frente do varnish, parece. Mas tenho medo que isto vai dar
*muitos* problemas com conteúdo hospedado em outros servidores (badges,
javascript, imagens, etc. etc.). O meu objetivo (por agora) é somente
proteger as senhas dos meus usuários, não necessariamente proteger a
privacidade deles (e nem estou tão pre-ocupado com os cookies de
autenticação, embora que proteger eles seria uma boa também, não?)
Ewout
--
http://stoa.usp.br/ewout
F. 916696
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20121118/2d3df927/attachment.html>
More information about the Noosfero-br
mailing list