Re: Proteger página de login com SSL?

Bráulio Bhavamitra braulio at eita.org.br
Thu Jul 4 06:32:32 BRT 2013 

2013/7/3 Rodrigo Souto <rodrigo at colivre.coop.br>

> Como opção aos certificados auto-assinados e os certificados que custam
> os olhos da cara, existem certificados comunitários como o Cacert que
> são bem utilizados e são de graça. Nós usamos ele para as coisas da
> Colivre.
>
Massa!

>
> Quanto a ssl no Noosfero, já tivemos essa discussão no passado, e não
> adianta ter usar ssl somente na autenticação porque quando o usuário
> fizer alguma conexão insegura autenticado ele vai estar suscétivel a um
> ataque a sua sessão. Isso permitiria que outra pessoa conseguisse se
> passar pelo usuário.
>
A solução que coloquei acima aparentemente nem tem como restringí-la a uma
página...
É via rack, o ssl fica em tudo...

abracos,
bráulio

>
> Ewout ter Haar escreveu isso ai:
> > Ixxx, Bráulio, se é verdade o que você está dizendo, quer dizer que o
> > Noosfero atualmente não tem condições de proteger nem as senhas dos
> > seus usuários (não quero rodar Noosfero do jeito não-recomendado pelo
> > Colivre).
> >
> > Não sei quanto pagamos pelo certificado, foi alguma licitação da USP.
> > Deve ter sido um roubo.
> >
> > Ewout
> >
> > 2013/6/29 Bráulio Bhavamitra <braulio at eita.org.br>:
> > > Olá Ewout,
> > >
> > > Fiz um teste aqui e consegui rodar o noosfero com um certificado
> assinado
> > > por mim mesmo.
> > > O que tive de fazer:
> > > - Instalar a gem rack-ssl
> > > - Colocar duas linhas no config/environment.rb
> > >    require 'rack/ssl'
> > >    config.middleware.use Rack::SSL
> > > - Atualizar o thin para uma versão mais nova (a do debian 6 não suporta
> > > SSL). No meu caso foi via gem.
> > > - Criar o certificado autoassinado. No seu caso é usar o que você tem.
> Usei
> > > as instruções de https://gist.github.com/trcarden/3295935
> > > - Configurar o thin para usar o certificado. Rodei o thin com a linha
> de
> > > comando sugerida no gist acima.
> > >
> > > Infelizmente não é viável usar o https sem desembolsar uma grana para
> > > comprar o certificado, senão o navegador grita que você não pode
> confiar no
> > > site...
> > >
> > > Muitas redes noosfero não poderiam fazer isso...
> > > Quando você gastou no que comprou?
> > >
> > > abraços,
> > > bráulio
> > >
> > >
> > >
> > >
> > >
> > > 2012/11/18 Ewout ter Haar <ewout at usp.br>
> > >>
> > >> Compramos um certificado válido para o nosso domínio, e gostaríamos
> > >> proteger as senhas dos nossos usuários.
> > >>
> > >> A minha pergunta é: posso simplesmente forçar o uso de https somente
> para
> > >> as páginas /account/* por meio de regras deste tipo em <VirtualHost
> *:443> :
> > >>
> > >>         RewriteEngine On
> > >>         RewriteCond %{HTTPS} on
> > >>         RewriteCond %{REQUEST_URI} !^/plugin/stoa/authenticate/
> > >>         RewriteCond %{REQUEST_URI} !^/account/(.*)
> > >>         RewriteRule ^(.*)$ http://%{SERVER_NAME}%{REQUEST_URI}
> [R=301,L]
> > >>
> > >>         SSLEngine On, etc.
> > >>
> > >> Isto funcionaria?
> > >>
> > >> Outras informações:
> > >>
> > >>  Existe este ticket
> > >>   http://noosfero.org/Development/ActionItem438
> > >> mas acho que não reflete a realidade (não é verdade que noosfero faz
> isto:
> > >> "always require SSL under /account and /myprofile/" )
> > >>
> > >> Rodamos thin atras de apache atras de varnish.
> > >>
> > >> O Rodrigo sugeriu investigar rodar o site inteiro usando https. Teria
> que
> > >> colocar pound em frente do varnish, parece. Mas tenho medo que isto
> vai dar
> > >> *muitos* problemas com conteúdo hospedado em outros servidores
> (badges,
> > >> javascript, imagens, etc. etc.). O meu objetivo (por agora) é somente
> > >> proteger as senhas dos meus usuários, não necessariamente proteger a
> > >> privacidade deles (e nem estou tão pre-ocupado com os cookies de
> > >> autenticação, embora que proteger eles seria uma boa também, não?)
> > >>
> > >> Ewout
> > >>
> > >> --
> > >> http://stoa.usp.br/ewout
> > >> F. 916696
> > >>
> > >> _______________________________________________
> > >> Noosfero-br mailing list
> > >> Noosfero-br at listas.softwarelivre.org
> > >> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >>
> > >
> > >
> > >
> > > --
> > > "Lute pela sua ideologia. Seja um com sua ideologia. Viva pela sua
> > > ideologia. Morra por sua ideologia" P.R. Sarkar
> > >
> > > EITA - Educação, Informação e Tecnologias para Autogestão
> > > http://cirandas.net/brauliobo
> > > http://eita.org.br
> > >
> > > _______________________________________________
> > > Noosfero-br mailing list
> > > Noosfero-br at listas.softwarelivre.org
> > > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
> > >
> >
> >
> >
> > --
> > http://social.stoa.usp.br/ewout
> > F. 30916696
> > _______________________________________________
> > Noosfero-br mailing list
> > Noosfero-br at listas.softwarelivre.org
> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
> --
> Rodrigo Souto <rodrigo at colivre.coop.br> :: 55 71 8131-7714
> Colivre - Cooperativa de Tecnologias Livres
> http://www.colivre.coop.br/
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>


-- 
"Lute pela sua ideologia. Seja um com sua ideologia. Viva pela sua
ideologia. Morra por sua ideologia" P.R. Sarkar

EITA - Educação, Informação e Tecnologias para Autogestão
http://cirandas.net/brauliobo
http://eita.org.br
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130704/efcdcdcb/attachment.html>

More information about the Noosfero-br mailing list