Obszar administracyjny Drupal i logowanie, Zabezpieczanie ich za pomocą HTTPS

Dużo o tym czytałem i wypróbowałem wiele metod, które znalazłem i jeszcze nie byłem w stanie zapewnić prawidłowego działania.

Chcę mieć możliwość zabezpieczenia obszaru administratora i powiązanych stron logowania. Tak więc wszystko w example.com/admin/* lub example.com/user/* itd., Musi przejść przez SSL / TLS. Chcemy, aby dotyczyło to każdej witryny z konfiguracją obejmującą wiele witryn. Tak więc example1.com, example2.com, example3.com znajdują się na tym samym koncie serwer / użytkownik.

Ustawić

• Drupal 7 multi site
• Czyste adresy URL włączone
• PHP 5.3
• MySQL v14 d5
• Apache 2

Notatki

• Securepages nie jest opcją, ponieważ nie ma stabilnej wersji Drupal 7, a używanie istniejącej wersji deweloperskiej wymaga łatania Drupal Core, co jest sprzeczne z naszymi zasadami
• Próbowałem sesji 443 bez powodzenia
• Próbowałem bezpiecznego logowania bez powodzenia
• Certyfikat SSL (na razie samopodpisany, podczas testowania) jest zainstalowany i działa na serwerze do innych celów, ale nie Drupal.
• Przeczytałem wszystkie dokumenty na Drupal.org dotyczące włączania HTTPS i starałem się postępować zgodnie z instrukcjami tam z niewielkim powodzeniem
• Zmieniłem ustawienie $ conf ['https'] w settings.php bez widocznych wyników.

Pytania

Jeśli włączę HTTPS dla wszystkiego w witrynie, dostanę 404 za wszystko, co próbuje przejść przez https: //, co prowadzi mnie do wniosku, że reguły przepisywania nie mają zastosowania do stron https. Czego tu brakuje? Czy jest jakiś przepis / zasada, którą mogę dodać do htaccess, aby to naprawić?

Czy to nie jest rozwiązany problem w społeczności Drupal? Czy ludzie po prostu opuszczają swoje obszary administracyjne niezabezpieczone, a hasła użytkowników są wysyłane w sposób wyraźny? Trudno mi w to uwierzyć, ale wydaje się, że nie ma wbudowanego ani powszechnie znanego rozwiązania problemu.

To nie jest pytanie, które zadałeś, ale najprostsza odpowiedź brzmi: po prostu zmień swoje zasady.

Rdzeń „hakerski” (łatanie go) i uruchamianie niestabilnych wydań to rzeczywistość prowadzenia strony internetowej.

Dwie poprawki potrzebne do bezpiecznych stron często wymagają ponownych rzutów, recenzji lub ulepszeń. Zaangażuj się w ten cykl i pomóż im utrzymać stabilność.

Użyłem następujących ustawień, ściągnij to ... i nie potrzebowałem do tego modułu. 1) httpd.conf

#APACHE stuff...
Listen 443
NameVirtualHost *:443
Include conf.d/vhosts/*.conf #Need this for multi-site and subdomains

<IfModule mod_header.c>
#enable HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
</IfModule>

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2) conf.d / vhosts / site1.conf

<VirtualHost *:443>
#APACHE stuff...
SSLEngine on
RewriteCond %{HTTP_HOST} !^www\. [NC] #Force www... be careful with subdomains
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

3) settings.php

$base_url = 'https://www.example.com';  // NO trailing slash!

I voooala !! spowoduje to, że cały ruch http będzie przesyłany przez https, w tym zasoby takie jak js i css. Jeśli chcesz poddomen, pamiętaj o dodaniu odpowiednich dyrektyw ServerAlias ​​w pliku (plikach) vhosts.

Używam modułu Ubercart SSL, który jest fantastycznym modułem, choć ma straszną nazwę . Zdajesz nie muszą być uruchomione Ubercart , aby skorzystać z tego modułu, który jest bardzo stabilny i łatwy w użyciu.