Proteger página de login com SSL?

Rodrigo Souto rodrigo at colivre.coop.br
Wed Jul 3 21:17:39 BRT 2013 

Como opção aos certificados auto-assinados e os certificados que custam
os olhos da cara, existem certificados comunitários como o Cacert que
são bem utilizados e são de graça. Nós usamos ele para as coisas da
Colivre.

Quanto a ssl no Noosfero, já tivemos essa discussão no passado, e não
adianta ter usar ssl somente na autenticação porque quando o usuário
fizer alguma conexão insegura autenticado ele vai estar suscétivel a um
ataque a sua sessão. Isso permitiria que outra pessoa conseguisse se
passar pelo usuário.

Ewout ter Haar escreveu isso ai:
> Ixxx, Bráulio, se é verdade o que você está dizendo, quer dizer que o
> Noosfero atualmente não tem condições de proteger nem as senhas dos
> seus usuários (não quero rodar Noosfero do jeito não-recomendado pelo
> Colivre).
> 
> Não sei quanto pagamos pelo certificado, foi alguma licitação da USP.
> Deve ter sido um roubo.
> 
> Ewout
> 
> 2013/6/29 Bráulio Bhavamitra <braulio em eita.org.br>:
> > Olá Ewout,
> >
> > Fiz um teste aqui e consegui rodar o noosfero com um certificado assinado
> > por mim mesmo.
> > O que tive de fazer:
> > - Instalar a gem rack-ssl
> > - Colocar duas linhas no config/environment.rb
> >    require 'rack/ssl'
> >    config.middleware.use Rack::SSL
> > - Atualizar o thin para uma versão mais nova (a do debian 6 não suporta
> > SSL). No meu caso foi via gem.
> > - Criar o certificado autoassinado. No seu caso é usar o que você tem. Usei
> > as instruções de https://gist.github.com/trcarden/3295935
> > - Configurar o thin para usar o certificado. Rodei o thin com a linha de
> > comando sugerida no gist acima.
> >
> > Infelizmente não é viável usar o https sem desembolsar uma grana para
> > comprar o certificado, senão o navegador grita que você não pode confiar no
> > site...
> >
> > Muitas redes noosfero não poderiam fazer isso...
> > Quando você gastou no que comprou?
> >
> > abraços,
> > bráulio
> >
> >
> >
> >
> >
> > 2012/11/18 Ewout ter Haar <ewout em usp.br>
> >>
> >> Compramos um certificado válido para o nosso domínio, e gostaríamos
> >> proteger as senhas dos nossos usuários.
> >>
> >> A minha pergunta é: posso simplesmente forçar o uso de https somente para
> >> as páginas /account/* por meio de regras deste tipo em <VirtualHost *:443> :
> >>
> >>         RewriteEngine On
> >>         RewriteCond %{HTTPS} on
> >>         RewriteCond %{REQUEST_URI} !^/plugin/stoa/authenticate/
> >>         RewriteCond %{REQUEST_URI} !^/account/(.*)
> >>         RewriteRule ^(.*)$ http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
> >>
> >>         SSLEngine On, etc.
> >>
> >> Isto funcionaria?
> >>
> >> Outras informações:
> >>
> >>  Existe este ticket
> >>   http://noosfero.org/Development/ActionItem438
> >> mas acho que não reflete a realidade (não é verdade que noosfero faz isto:
> >> "always require SSL under /account and /myprofile/" )
> >>
> >> Rodamos thin atras de apache atras de varnish.
> >>
> >> O Rodrigo sugeriu investigar rodar o site inteiro usando https. Teria que
> >> colocar pound em frente do varnish, parece. Mas tenho medo que isto vai dar
> >> *muitos* problemas com conteúdo hospedado em outros servidores (badges,
> >> javascript, imagens, etc. etc.). O meu objetivo (por agora) é somente
> >> proteger as senhas dos meus usuários, não necessariamente proteger a
> >> privacidade deles (e nem estou tão pre-ocupado com os cookies de
> >> autenticação, embora que proteger eles seria uma boa também, não?)
> >>
> >> Ewout
> >>
> >> --
> >> http://stoa.usp.br/ewout
> >> F. 916696
> >>
> >> _______________________________________________
> >> Noosfero-br mailing list
> >> Noosfero-br em listas.softwarelivre.org
> >> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >>
> >
> >
> >
> > --
> > "Lute pela sua ideologia. Seja um com sua ideologia. Viva pela sua
> > ideologia. Morra por sua ideologia" P.R. Sarkar
> >
> > EITA - Educação, Informação e Tecnologias para Autogestão
> > http://cirandas.net/brauliobo
> > http://eita.org.br
> >
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br em listas.softwarelivre.org
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> >
> 
> 
> 
> -- 
> http://social.stoa.usp.br/ewout
> F. 30916696
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br

-- 
Rodrigo Souto <rodrigo em colivre.coop.br> :: 55 71 8131-7714
Colivre - Cooperativa de Tecnologias Livres
http://www.colivre.coop.br/
-------------- Pr?xima Parte ----------
Um anexo n?o-texto foi limpo...
Nome: signature.asc
Tipo: application/pgp-signature
Tamanho: 490 bytes
Descri??o: Digital signature
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130703/d0c84aba/attachment-0001.pgp>

More information about the Noosfero-br mailing list