4.2 Sécuriser toute sa communauté (Passer toutes les pages en HTTPS)

[Soundamental]

Bonjour,

Je n'ai rien trouvé mais je ne suis pas certain d'avoir bien cherché tous les mots-clés possibles

 

En fait j'ai un certificat SSL Let's Encrypt et mon forum est bien dispo en HTTPS, sauf que tous les liens de navigation interne sont en HTTP (on quitte donc HTTPS dès qu'on clique sur un lien interne, et je n'ai pas encore réussi à rediriger automatiquement http en https) et je ne trouve pas le réglage qui permet de passer en HTTPS par défaut. Une recherche dans le PCA ne me propose que de sécuriser la connexion, mais cela ne suffit pas à répondre à mon problème.

 

[Youp3]

Bonjour Soundamental,

 

dans ton fichier « conf_global.php », il semblerait que le paramètre « base_url » contient l’url en http et non pas en https.

 

Ensuite il faut t’assurer que dans « Système », « Paramètres », « Publication », « Général », que le paramètre « Servir les images depuis le serveur local ? » est bien activé. Sinon tu auras ton navigateur qui t’indiquera que ta page n’est pas totalement sécurisée.

[cybero]

Il y a 15 heures, Soundamental a dit :

Bon sinon ça se confirme, cette option fonctionne vraiment très mal, ou alors j'ai mal fait/raté un truc...
Les anciennes images sont OK cette fois, mais dernièrement j'ai un membre qui a posté un lien non sécurisé d'une image.
L'image a bien été prise en charge par le truc (serveur ?) local qui a transformé ça en https, sauf que... l'image ne s'affiche pas !

 

 

Est-ce que tu aurais le lien transformé d'une image https ?
Il doit être du type /applications/core/interface/imageproxy/imageproxy.php?img=http://monimage&key=dkfjsdklfskdlds

C'est bien cela ?

 

Je tente ma dernière cartouche...
Au moment de mon passage en https j'avais eu un petit soucis avec mon hébergeur O2Switch et en parcourant le sujet lui étant destiné je vois que tu es chez eux

Je ne sais pas si c'est toujours le cas, je tente ma chance

Certaines url  étaient bloquées par un module apache (mod_security)

 

Je rentre dans un léger détail: Une règle actuelle chez O2Switch de ce mod bloque les accès du type: www.forum.fr/toto/appel.php?http://kldsjfjsdlfs
Règle dans laquelle on passe en utilisant le imageproxy?img=http... et du coup... l'image n'est pas rendue
Après avoir cherché cherché... l'erreur rendue est en fait une erreur 406 (Not Acceptable) - Masquée par le moteur IPS
Bref... J'avais remonté l'info au support, ils devaient faire évoluer la règle mais je viens de tester... toujours 406 
Le support m'a indiqué que ce mod_secutiry était ceinture + bretelle étant donné que IPS est bien sécurisé et que je pouvais le désactiver via mon cpanel

 

Donc... ma dernière cartouche est que si tu es chez o2swtich (peut-être ailleurs aussi, sait-on jamais...) essaye de désactiver le ModSecurity pour ton domaine dans le cpanel et reteste

 

Personnellement cela avait réglé le problème 

 

(Il sera peut-être nécessaire de reconstruire à nouveau les messages....)

Modifié le 23 novembre 2017 par cybero

[Soundamental]

Il y a 3 heures, Youp3 a dit :

dans ton fichier « conf_global.php », il semblerait que le paramètre « base_url » contient l’url en http et non pas en https.

Ah merci Youp3, ça fonctionne ^^ En fait c'est le paramètre "board_url".
J'avais essayé tout à l'heure mais j'avais également basculé en https un autre lien du fichier (pour l'upload je crois) et mon forum ne s'affichait plus, du coup j'avais écarté cette possibilité...

Je n'avais pas pensé à n,e modifier qu'une seule des 2 URL.

 

Il y a 3 heures, Youp3 a dit :

Ensuite il faut t’assurer que dans « Système », « Paramètres », « Publication », « Général », que le paramètre « Servir les images depuis le serveur local ? » est bien activé. Sinon tu auras ton navigateur qui t’indiquera que ta page n’est pas totalement sécurisée.

Ca je l'avais fait tout à l'heure oui

 

Merci beaucoup !
Vous devriez ptet faire un truc spécial sur ce sujet car le https va devenir la norme pour tous les sites j'ai l'impression (et ne serait-ce que pour faire plaisir à Saint Google).
Les admins de forums vont probablement tous faire ça tôt ou tard.

 

[Youp3]

À chaque fois que je vois une question sur le sujet, je me dis qu’il faudrait faire cet article.

[Soundamental]

Petite question subsidiaire : mes manips d'hier ont fait sauter toutes les images des posts, comme les smileys par exemple, mais pas seulement. Les smileys postés aujourd'hui s'affichent par contre. Je pense donc qu'il faut reconstruire le cache ou un truc comme ça ?

[Youp3]

Oui, effectivement.

Le moyen le plus simple est d’aller dans le PCA > Système > Support, de choisir l’option « Quelque chose ne fonctionne pas correctement », puis de confirmer en cliquant sur « Continuer ». Cela fait tout un tas de vérifications, et surtout cela vide le cache.

[Soundamental]

Merci !

Ca a vidé le cache et j'ai aussi appliqué la petite mise à jour recommandée mais malheureusement ça n'a pas résolu le problème

J'ai viré le cache de mon navigateur aussi par précaution mais sans résultat non plus...

[Youp3]

Ok, je vois. Il faudrait en fait forcer la reconstruction de tous les messages. Le problème c’est qu’il n’y a rien de prévu pour ça. Il faut que je regarde comment j’avais fait.

[cybero]

Le 05/11/2017 à 20:10, Youp3 a dit :

Ensuite il faut t’assurer que dans « Système », « Paramètres », « Publication », « Général », que le paramètre « Servir les images depuis le serveur local ? » est bien activé. Sinon tu auras ton navigateur qui t’indiquera que ta page n’est pas totalement sécurisée.

 

De mémoire, cette action m'a affiché une popup invitant à reconstruire l'ensemble des messages
Ce que j'ai fait et toutes les images, smileys, etc... sont correctement affichés

[Soundamental]

Il y a 10 heures, Youp3 a dit :

Ok, je vois. Il faudrait en fait forcer la reconstruction de tous les messages. Le problème c’est qu’il n’y a rien de prévu pour ça. Il faut que je regarde comment j’avais fait.

OK, merci beaucoup !

Il n'y a plus de boutons pour reconstruire en effet, j'ai pas rêvé

 

Il y a 2 heures, cybero a dit :

De mémoire, cette action m'a affiché une popup invitant à reconstruire l'ensemble des messages

Moi j'ai juste eu une liste de recommandations, dont une mise à jour à faire.
Une fois tout ça réalisé, j'ai eu un message me prévenant que le cache avait été supprimé, mais ça n'a rien changé à mon problème.

 

Je vais rééssayer, des fois que...

Bon, j'ai installé la dernière version 4.2.6, mais, c'était prévisible, sans effet.

[cybero]

Je viens d'essayer:

 

Le 05/11/2017 à 20:10, Youp3 a dit :

Ensuite il faut t’assurer que dans « Système », « Paramètres », « Publication », « Général », que le paramètre « Servir les images depuis le serveur local ? » est bien activé. Sinon tu auras ton navigateur qui t’indiquera que ta page n’est pas totalement sécurisée.

 

Décocher la case, enregistrer

Revenir sur la page, cocher la case puis sélectionner reconstruire:

 

 

 

Un processus est alors lancé en arrière plan:

 

 

 

 

 

Quand tu regardes l'adresse d'une image qui s'affiche mal sur ta communauté, quelle est l'url ?

[Soundamental]

J'avais fait cette manip, je peux la recommencer tu penses ?

 

Edit : bon j'ai tenté et ça ne marchait pas... Il me proposait de reconstruire quand je décochais (avant d'enregistrer) mais pas quand je recochais. Et en réalité il ne reconstruisait rien.
En fait j'ai dû carrément quitter la page, aller sur une autre et revenir pour "recocher" et là oui il m'a à nouveau proposé de reconstruire. C'est en cours ^^

Je repasse quand ce sera terminé pour dire si ça a résolu le problème !

Merci

 

 

Il y a 11 heures, cybero a dit :

Quand tu regardes l'adresse d'une image qui s'affiche mal sur ta communauté, quelle est l'url ?

Il n'y a plus d'URL car il n'y a plus d'image

Pour mes images linkées il reste seulement le lien, pour les smileys il reste le code texte du smiley. Pour les autres images il ne reste rien...

Modifié le 8 novembre 2017 par Soundamental

[MasterGone]

Pour passer en SSL, voir cet article : https://invisioncommunity.com/4guides/advanced-options/configuration-options/using-ssl-https-r273/

 

Si Youp3 ne n'a pas fait avant moi, je ferai un article sur le sujet

Modifié le 8 novembre 2017 par MasterGone

[Soundamental]

Je suis dégouté, ça n'a pas marché
J'ai même refais la manip une fois supplémentaire, sans plus de résultats...

 

En résumé :

- les avatars des membres et les images (personnalisées et stockées dans un dossier interne au répertoire du forum) indiquant si les forums sont lus ou non lus s'affichent (hors posts donc)

- les smileys, les images uploadées sur le forum mais aussi des images stockées dans un dossier externe au répertoire du forum ne s'affichent pas (tout ce qui se trouve dans les posts donc)

- les smileys (et probablement les autres images, même si j'ai pas pu vérifier pour le moment) postés après le passage au HTTPS, ou après une manip quelconque effectuée à ce moment là, s'affichent.

 

 

[cybero]

Mince... désolé je sèche 

[Soundamental]

Alors j'ai récupéré mes images en décochant à nouveau le bouton : cette fois quand on m'a proposé de reconstruire, ça a marché ! Et les images sont revenues (alors que la reconstruction en cochant le bouton n'avait pas résolu le problème).

Mais du coup, quand j'ai recoché " Servir les images depuis le serveur local ?" je n'ai pas reconstruit, de peur que ça refasse sauter les images...

C'est problématique si je ne reconstruis pas dans ce sens ?

 

En tout cas c'est un beau bazar cette fonctionnalité, c'est pas au point !

[cybero]

Disons que les anciennes images (externes) n'apparaîtront pas comme sécurisées à l'utilisateur et donc une alerte utilisateur au niveau de son navigateur 

 

Les nouvelles images (externes) apparaissent bien ?

 

C'est étrange tout de même, tu peux peut être ouvrir un ticket chez IPS

 

[Youp3]

Le problème ne vient pas des images externes, mais bien des images locales dans les messages non reconstruits.

En fait il doit être possible de gérer ça via le fichier htaccess en redirigeant tout le http en https.

[cybero]

Ok pardon 
Pour moi sur son forum (j'ai été sur un vieux sujet non reconstruit par exemple celui-ci)
Les smileys en tout cas s'affichent bien et ont bien l'url en https

 

Pour moi tout ceci est géré par le conf_global.php

(Dans la base il me semble qu'il n'y a pas d'url stockée pour les smileys par exemple, mais une référence à un filestore emoticone)

La reconstruction dont je parlais plus haut ne s'occupe que des images externes 

[Youp3]

Je ne sais pas trop alors. Nous allons attendre que Soundamental éclaircisse ce qui ne fonctionne pas.

[Soundamental]

Il y a 6 heures, Youp3 a dit :

Nous allons attendre que Soundamental éclaircisse ce qui ne fonctionne pas.

Ben tout refonctionne a priori, comme expliqué plus haut

Mais je n'ai pas re-reconstruit après avoir re-coché l'option sur les images, de peur que ça refoute le bazar.

[Onerrac]

Il y a 14 heures, Youp3 a dit :

Le problème ne vient pas des images externes, mais bien des images locales dans les messages non reconstruits.

En fait il doit être possible de gérer ça via le fichier htaccess en redirigeant tout le http en https.

 

J'avais le même soucis d'images, j'ai ajouté ça à mon .htaccess et ça a fonctionné nickel :

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

 

[madmic59]

Bonjour, petit plugin vraiment pas mal https://invisioncommunity.com/files/file/8076-clear-cache/ 

[pidje]

Bonjour,

pour ma part cette option "Servir les images depuis le serveur local ? "

se désactive toute seule,

Je la coche , je clic sur reconstruire puis rien ne se passe , en faisant un f5 l'option est décoché à nouveau

[cybero]

Question peut-être bête hein... mais au début je suis tombé dans ce "piège" 

 

Tu fais bien "Enregistrer" en bas de la page des paramètres après avoir coché la case et validé la reconstruction ?