Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forum osCommerce-fr _ Sécurité - Mises à jour _ [résolu] SSL admin

Écrit par : asterix 19 Dec 2005, 15:52

Bonjour,


J'ai un problème pour sécuriser la partie admin de mon site.

Lorsque je me connecte sur www.monsite.com/catalog/admin, l'url affiche automatiquement https://www.monsite.com/catalog/admin/login.php et le browser me montre le certificat SSL.
Jusque là c'est ok.

Lorsque j'introduis mon username, mon password et que je clique sur le bouton confirmer, je reçois un message de mon browser disant :

"You are about to leave a secure internet connection.
It will be possible for others to view information you send.
Do you want to continue ?"

Bref, mon username et password passent en clair sur le web !!!

Je n'ai pas ce problème du côté catalog lorsque le client introduit son username et mot de passe. Là je suis bien sécurisé.

Que dois-je faire ?

Y-a-t-il qqc que j'aurais oublié de configurer ?

Merci pour le coup de main.

Écrit par : asterix 20 Dec 2005, 10:34

Voici le code source de la page www.monsite.com/catalog/admin/login.php

QUOTE

<!doctype html public "-//W3C//DTD HTML 4.01 Transitional//EN">
<html dir="ltr" lang="fr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<title>Monsite</title>
<style type="text/css"><!--
a { color:#080381; text-decoration:none; }
a:hover { color:#aabbdd; text-decoration:underline; }
a.text:link, a.text:visited { color: #ffffff; text-decoration: none; }
a:text:hover { color: #000000; text-decoration: underline; }
a.sub:link, a.sub:visited { color: #dddddd; text-decoration: none; }
A.sub:hover { color: #dddddd; text-decoration: underline; }
.sub { font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 10px; font-weight: bold; line-height: 1.5; color: #dddddd; }
.text { font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 11px; font-weight: bold; color: #000000; }
.smallText { font-family: Verdana, Arial, sans-serif; font-size: 10px; }
.login_heading { font-family: Verdana, Arial, sans-serif; font-size: 12px; color: #ffffff;}
.login { font-family: Verdana, Arial, sans-serif; font-size: 12px; color: #000000;}
//--></style>
</head>
<body marginwidth="0" marginheight="0" topmargin="0" bottommargin="0" leftmargin="0" rightmargin="0" bgcolor="#FFFFFF">

<table border="0" width="600" height="100%" cellspacing="0" cellpadding="0" align="center" valign="middle">
  <tr>
    <td><table border="0" width="600" height="440" cellspacing="0" cellpadding="1" align="center" valign="middle">
      <tr bgcolor="#000000">

        <td><table border="0" width="600" height="440" cellspacing="0" cellpadding="0">
          <tr bgcolor="#ffffff" height="50">
            <td height="50"><img src="images/oscommerce.gif" border="0" alt="osCommerce" title=" osCommerce " width="204" height="50"></td>
            <td align="right" class="text" nowrap><a href="http://www.monsite.com/catalog/admin/index.php">Administration</a>&nbsp;|&nbsp;<a href="http://www.monsite.com/catalog/">Catalogue en ligne</a>&nbsp;|&nbsp;<a href="http://www.oscommerce.com" target="_blank">Site officiel</a>&nbsp;&nbsp;</td>
          </tr>
          <tr bgcolor="#080381">

            <td colspan="2" align="center" valign="middle">
                          <form name="login" action="http://www.monsite.com/catalog/admin/login.php?action=process" method="post">                            <table width="280" border="0" cellspacing="0" cellpadding="2">
                              <tr>
                                <td class="login_heading" valign="top">&nbsp;<b>Panneau d'ouverture :</b></td>
                              </tr>
                              <tr>
                                <td height="100%" valign="top" align="center">
                                <table border="0" height="100%" cellspacing="0" cellpadding="1" bgcolor="#666666">

                                  <tr><td><table border="0" width="100%" height="100%" cellspacing="3" cellpadding="2" bgcolor="#F0F0FF">
                                    <tr>
                                      <td colspan="2"><img src="images/pixel_trans.gif" border="0" alt="" width="100%" height="10"></td>
                                    </tr>
                                   
                                    <tr>
                                      <td class="login">Addresse &eacute;lectronique :</td>
                                      <td class="login"><input type="text" name="email_address"></td>
                                    </tr>

                                    <tr>
                                      <td class="login">Mot de passe :</td>
                                      <td class="login"><input type="password" name="password" maxlength="40"></td>
                                    </tr>
                                    <tr>
                                      <td colspan="2" align="right" valign="top"><input type="image" src="includes/languages/french/images/buttons/button_confirm.gif" border="0" alt="Confirmer" title=" Confirmer "></td>
                                    </tr>
                                  </table></td></tr>

                                </table>
                                </td>
                              </tr>
                              <tr>
                                <td valign="top" align="right"><a class="sub" href="https://www.monsite.com/catalog/admin/password_forgotten.php">Mot de passe oubli&eacute; ?</a><span class="sub">&nbsp;</span></td>
                              </tr>
                            </table>

                          </form>

            </td>
          </tr>
        </table></td>
      </tr>
      <tr>
        <td><br>
<table border="0" width="100%" cellspacing="0" cellpadding="2">
  <tr>

    <td align="center" class="smallText">
E-Commerce Engine Copyright &copy; 2003 <a href="http://www.oscommerce.com" target="_blank">osCommerce</a><br>
osCommerce provides no warranty and is redistributable under the <a href="http://www.fsf.org/licenses/gpl.txt" target="_blank">GNU General Public License</a>
    </td>
  </tr>
  <tr>
    <td><img src="images/pixel_trans.gif" border="0" alt="" width="1" height="5"></td>

  </tr>
  <tr>
    <td align="center" class="smallText">Powered by <a href="http://www.oscommerce.com" target="_blank">osCommerce</a><br><font color="gray">Traduction par Delaballe</font></td>
  </tr>
</table>
</td>
      </tr>
    </table></td>

  </tr>
</table>

</body>

</html>


Je me demande si le problème ne vient pas de la ligne ci-dessous puisque j'ai http au lieu de https.
Mais comment modifier cela ?

QUOTE

<form name="login" action="http://www.monsite.com/catalog/admin/login.php?action=process" method="post">

Écrit par : fissiaux 20 Dec 2005, 13:14

Peux tu nous afficher les premières lignes du fichier configure.php de l'admin ?

Écrit par : asterix 20 Dec 2005, 13:19

<?php
/*
osCommerce, Open Source E-Commerce Solutions
http://www.oscommerce.com

Copyright © 2003 osCommerce

Released under the GNU General Public License
*/

// Define the webserver and path parameters
// * DIR_FS_* = Filesystem directories (local/physical)
// * DIR_WS_* = Webserver directories (virtual/URL)
define('HTTP_SERVER', 'http://www.monsite.com'); // eg, http://localhost - should not be empty for productive servers
define('HTTPS_SERVER', 'https://www.monsite.com'); // secure webserver for admin
define('HTTP_CATALOG_SERVER', 'http://www.monsite.com');
define('HTTPS_CATALOG_SERVER', 'https://www.monsite.com');
define('ENABLE_SSL', 'true');

define('ENABLE_SSL_CATALOG', 'true'); // secure webserver for catalog module

Écrit par : fissiaux 20 Dec 2005, 13:58

En fait de la façon dont s'est contruit, c'ets normal que tu perdes le pamramètre SSL. Je ne penses pas que cela vienne de toi.


Ce que tu pourrais essayer de faire, c'ets dans le fichier catalog/admin/includes/html_output.php, remplaces :

CODE
 function tep_href_link($page = '', $parameters = '', $connection = 'NONSSL') {


par


CODE
 function tep_href_link($page = '', $parameters = '', $connection = 'SSL') {


Comme toute ton admin ets censé être sous SSL, cela ne devrait pas poser de problème.

Écrit par : asterix 20 Dec 2005, 14:30

Merci bcp Fissiaux.

C'est en ordre maintenant.

Cela poserait-il un problème d'avoir toute la partie admin en https ?

N'y a-t-il pas moyen de passer 'SSL' comme paramètre pour la fonction tep_href_link via la page login.php ?

La page login.php utilise la fonction tep_draw_form. Ne peut-on pas passer un parametre dans tep_draw_form pour activer le SSL lorsqu'on clique sur le bouton 'Confirmer' ?

Écrit par : fissiaux 20 Dec 2005, 15:05

Non, ce n'était pas possible "simplement".

Un petit {résolu] pour la route

Écrit par : asterix 20 Dec 2005, 15:08

Merci Fissiaux.

Tu l'as mérité ton résolu wink.gif


Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)