Proteger página de login com SSL?
Rodrigo Souto
rodrigo at colivre.coop.br
Mon Nov 19 22:45:47 BRST 2012
Olá Ewout,
Para o SSL ser realmente eficaz, é necessário que toda conexão que exija
um usuário autenticado seja servida sob SSL. Usando SSL somente no login
você só garante que a transmissão das informações de autenticação não
serão roubadas, mas ao autenticar um usuário, o Noosfero (assim como a
maioria dos demais serviços) gera um cookie para as próximas
requisições. Se qualquer outra requisição que possua esse cookie for
realizada sem SSL, o usuário estará exposto pois seu cookie pode ser
"bisbilhotado" com um simples "man in the middle". Com o cookie exposto
não é possível distinguir o acesso de um usuário real para o malfeitor
que está usando um cookie forjado.
Sendo assim não sei se seria necessário ter um Pound na frente do
Varnish, já que (a princípio) toda requisição autenticada passa direto
pelo Varnish para o Apache e o Apache já faz balanceamento de carga e
decodificação de HTTPS.
Ewout ter Haar escreveu isso ai:
> Compramos um certificado válido para o nosso domínio, e gostaríamos
> proteger as senhas dos nossos usuários.
>
> A minha pergunta é: posso simplesmente forçar o uso de https somente para
> as páginas /account/* por meio de regras deste tipo em <VirtualHost *:443> :
>
> RewriteEngine On
> RewriteCond %{HTTPS} on
> RewriteCond %{REQUEST_URI} !^/plugin/stoa/authenticate/
> RewriteCond %{REQUEST_URI} !^/account/(.*)
> RewriteRule ^(.*)$ http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
>
> SSLEngine On, etc.
>
> Isto funcionaria?
>
> Outras informações:
>
> Existe este ticket
> http://noosfero.org/Development/ActionItem438
> mas acho que não reflete a realidade (não é verdade que noosfero faz isto:
> "always require SSL under /account and /myprofile/" )
>
> Rodamos thin atras de apache atras de varnish.
>
> O Rodrigo sugeriu investigar rodar o site inteiro usando https. Teria que
> colocar pound em frente do varnish, parece. Mas tenho medo que isto vai dar
> *muitos* problemas com conteúdo hospedado em outros servidores (badges,
> javascript, imagens, etc. etc.). O meu objetivo (por agora) é somente
> proteger as senhas dos meus usuários, não necessariamente proteger a
> privacidade deles (e nem estou tão pre-ocupado com os cookies de
> autenticação, embora que proteger eles seria uma boa também, não?)
>
> Ewout
>
> --
> http://stoa.usp.br/ewout
> F. 916696
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
--
Rodrigo Souto <rodrigo em colivre.coop.br> :: 55 71 8131-7714
Colivre - Cooperativa de Tecnologias Livres
http://www.colivre.coop.br/
-------------- Pr?xima Parte ----------
Um anexo n?o-texto foi limpo...
Nome: signature.asc
Tipo: application/pgp-signature
Tamanho: 490 bytes
Descri??o: Digital signature
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20121119/46861f61/attachment.pgp>
More information about the Noosfero-br
mailing list