Salut
Juste pour confirmer ce que Pat a dit , ton django-secure semble faire une redirection du Http vers Https via un MiddleWare , ca ne marche pas parce que ton SSL n'est pas configuré , mais il me semble même que django encourage de le gérer sur le server nginx , d’après cette lecture . C'est juste ma lecture ,je n'ai rien implémenté , disons pas encore :) https://docs.djangoproject.com/en/dev/topics/security/ SSL/HTTPS It is always better for security, though not always practical in all cases, to deploy your site behind HTTPS. Without this, it is possible for malicious network users to sniff authentication credentials or any other information transferred between client and server, and in some cases – active network attackers – to alter data that is sent in either direction. If you want the protection that HTTPS provides, and have enabled it on your server, there are some additional steps you may need: If necessary, set SECURE_PROXY_SSL_HEADER, ensuring that you have understood the warnings there thoroughly. Failure to do this can result in CSRF vulnerabilities, and failure to do it correctly can also be dangerous! 1--[ *Set up redirection so that requests over HTTP are redirected to HTTPS.This could be done using a custom middleware. Please note the caveats under SECURE_PROXY_SSL_HEADER. For the case of a reverse proxy, it may be easier or more secure to configure the main Web server to do the redirect to HTTPS.* ] Pour les autres points lies a la sécurité également que apporte --django-secure-- , j'ai comme l'impression que ce sont les mêmes problèmes de sécurité que django a fixe sur ces dernières version (1.6) . Je peux peu être me tromper mais , vérifie bien avant d'ajouter une application superflue a Django de base . Cela n’empêche a rien que Tu dois fixer le problème de SSL que Pattrik a évoqué pour que ton https marche :) --Ad Le 14 décembre 2013 00:39, Patrick Nsukami <[email protected]> a écrit : > > MErci Grand maitre Patt je vais abandonné mon vieux apache donc :) et me > > mettre sur nginx > > Non non non, si tu es plus a l'aise avec Apache, il n'y a aucun soucis. > Ce qui compte, c'est le PRINCIPE, pas l'outil. > > Apache peut tenir lui aussi des virtualhosts > Apache gere lui aussi le SSL > Apache peut communiquer avec un serveur uwsgi > > Bon weekend mec > > -- > Bests, > > --- > "Still water is deep" > > Patrick Nsukami > http://about.me/lemeteore > > -- > Ce message a été envoyé à la liste [email protected] > Gestion de votre abonnement : http://dakarlug.org/liste > Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug > Le site du DakarLUG : http://dakarlug.org >
-- Ce message a été envoyé à la liste [email protected] Gestion de votre abonnement : http://dakarlug.org/liste Archives : http://news.gmane.org/gmane.org.user-groups.linux.dakarlug Le site du DakarLUG : http://dakarlug.org
