Authentification lighttpd avant la redirection de https vers http


1

Je voudrais rediriger de https vers http après l' authentification afin que les informations d'identification passent par un canal sécurisé, mais tout le reste est transmis en clair.

Voici la partie pertinente du fichier conf:

## Auth
# https://redmine.lighttpd.net/projects/1/wiki/docs_modauth
# type of backend
# plain, htpasswd, ldap or htdigest
auth.backend               = "htpasswd"
# for htpasswd
auth.backend.htpasswd.userfile = "/etc/apache2/auth.htpwd"
auth.require = ( "" =>
        (
                "method" => "basic",
                "realm" => "Authorization required",
                "require" => "valid-user"
        )
)

## Simple SSL
# https://redmine.lighttpd.net/projects/1/wiki/HowToSimpleSSL
$SERVER["socket"] == ":443" {
        ssl.engine = "enable"
        ssl.pemfile = "/etc/lighttpd/certs/lighttpd.pem"
}

## Redirect from https to http
# https://redmine.lighttpd.net/projects/1/wiki/HowToRedirectHttpToHttps
# https://redmine.lighttpd.net/boards/2/topics/3988
$HTTP["scheme"] == "https" {
        $HTTP["host"] =~ "([^:/]+)" {
                url.redirect = ( "^/(.*)" => "http://%1:1234/$1" )
        }
}

Jusqu'à présent, la redirection est exécutée avant l' authentification.

Des idées?

lighttpd 1.4.35 sur Linux 4.1.19


Un peu sans importance, mais que se passe-t-il si quelqu'un passe directement à http sans authentification? Je ne vois pas que vous installiez un type de jeton / cookie.
RV

Vrai. Mais maintenant ça ne me dérange pas.
Albert

Réponses:


0

Je me réponds

Ma question n'a aucun sens. HTTPest un protocole sans état , donc même si je pouvais m'authentifier par dessus SSLet ensuite HTTPaccéder à , les informations d'identification seront toujours envoyées en clair dans les HTTPrequêtes suivantes .

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.