Re: Proteger página de login com SSL?

[Bráulio Bhavamitra]

Olá Ewout,

Fiz um teste aqui e consegui rodar o noosfero com um certificado assinado
por mim mesmo.
O que tive de fazer:
- Instalar a gem rack-ssl
- Colocar duas linhas no config/environment.rb
   require 'rack/ssl'
   config.middleware.use Rack::SSL
- Atualizar o thin para uma versão mais nova (a do debian 6 não suporta
SSL). No meu caso foi via gem.
- Criar o certificado autoassinado. No seu caso é usar o que você tem. Usei
as instruções de https://gist.github.com/trcarden/3295935
- Configurar o thin para usar o certificado. Rodei o thin com a linha de
comando sugerida no gist acima.

Infelizmente não é viável usar o https sem desembolsar uma grana para
comprar o certificado, senão o navegador grita que você não pode confiar no
site...

Muitas redes noosfero não poderiam fazer isso...
Quando você gastou no que comprou?

abraços,
bráulio





2012/11/18 Ewout ter Haar <ewout at usp.br>

> Compramos um certificado válido para o nosso domínio, e gostaríamos
> proteger as senhas dos nossos usuários.
>
> A minha pergunta é: posso simplesmente forçar o uso de https somente para
> as páginas /account/* por meio de regras deste tipo em <VirtualHost *:443> :
>
>         RewriteEngine On
>         RewriteCond %{HTTPS} on
>         RewriteCond %{REQUEST_URI} !^/plugin/stoa/authenticate/
>         RewriteCond %{REQUEST_URI} !^/account/(.*)
>         RewriteRule ^(.*)$ http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
>
>         SSLEngine On, etc.
>
> Isto funcionaria?
>
> Outras informações:
>
>  Existe este ticket
>   http://noosfero.org/Development/ActionItem438
> mas acho que não reflete a realidade (não é verdade que noosfero faz isto:
> "always require SSL under /account and /myprofile/" )
>
> Rodamos thin atras de apache atras de varnish.
>
> O Rodrigo sugeriu investigar rodar o site inteiro usando https. Teria que
> colocar pound em frente do varnish, parece. Mas tenho medo que isto vai dar
> *muitos* problemas com conteúdo hospedado em outros servidores (badges,
> javascript, imagens, etc. etc.). O meu objetivo (por agora) é somente
> proteger as senhas dos meus usuários, não necessariamente proteger a
> privacidade deles (e nem estou tão pre-ocupado com os cookies de
> autenticação, embora que proteger eles seria uma boa também, não?)
>
> Ewout
>
> --
> http://stoa.usp.br/ewout
> F. 916696
>
> _______________________________________________
> Noosfero-br mailing list
> Noosfero-br at listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/noosfero-br
>
>


-- 
"Lute pela sua ideologia. Seja um com sua ideologia. Viva pela sua
ideologia. Morra por sua ideologia" P.R. Sarkar

EITA - Educação, Informação e Tecnologias para Autogestão
http://cirandas.net/brauliobo
http://eita.org.br
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.softwarelivre.org/pipermail/noosfero-br/attachments/20130629/7a3e0bdf/attachment.html>