Activate admin.protectindexpage

rediris-es / simplesamlphp-module-idpinstaller

A SimpleSAMLphp module for pre-installing an IdP

GNU Lesser General Public License v2.1

0 stars 0 forks source link

Activate admin.protectindexpage #3

Closed lonoak closed 6 years ago

lonoak commented 8 years ago

The installer should make use of admin.protectindexpage. Also have to check this nice article by our SURFconext colleagues... :) :

https://wiki.surfnet.nl/display/surfconextdev/Securing+your+simpleSAMLphp+setup

(note to self)

adriangmemorandum commented 6 years ago

Este es el estado por defecto (tras instalar el idp de referencia) de los parametros de securización que se mencionan en el articulo que adjuntas:

config.php

'admin.protectindexpage' => true OK 'showerrors' => true Deberia ser false 'secretsalt' => [cadena aleatoria] OK 'session.cookie.secure' => false Deberia ser true 'session.phpsession.httponly' => false Deberia ser true 'trusted.url.domains' => NULL Deberiamos configurar array() al menos, tal y como indica el articulo

authsources.php/saml20-idp-hosted.php

//'signature.algorithm' => 'http://www.w3.org/2001/04/xmldsig-more#rsa-sha256', Deberia estar descomentada

Podemos probar a configurarlos al comenzar la instalación. Por ejemplo en hook_step3, que entiendo que es el primer punto en el que se modifican los valores de configuración.

¿Como lo ves @lonoak ?

lonoak commented 6 years ago

Tengo dudas de lo del httponly... miraré el motivo. Pon de momento “lo que venga en la plantilla”. El resto bien... hazlo así.

adriangmemorandum commented 6 years ago

A espera de confirmar lo del httponly, aquí puedes ver el resto de modificaciones:

https://github.com/rediris-es/simplesamlphp-module-idpinstaller/commit/6dceb447c1f86daa4fa4b1dd0f731ff1465690cb

Tras estas modificaciones, la instalación se completa correctamente y puedo acceder y navegar por la administración sin problemas.

lonoak commented 6 years ago

Es correcto poner session.cookie_httponly a true... esto es para que no sea accesible desde javascript... está explicado por aquí.

Adrián, ¿podrías preparamer una PR con los cambios de los dos issues?

adriangmemorandum commented 6 years ago

Creado PR...

Como disponemos solamente de una rama development, al hacer PR de la misma, con las modificaciones de estas dos issues, ahora no puedo incluir otras modificaciones en esta misma rama sobre la issue #4. Puedo ir trabajando en mi entorno local, pero no subirlas al repo.

Propongo crear una rama desde master para cada issue. De esta forma podremos estar trabajando simultaneamente en distintas issues y luego hacer solamente PR de lo que nos interese, ganando en productividad y organización.

De momento voy trabajando en mi entorno local sobre la issue #4, ya me dices como quieres que nos organicemos en este aspecto.

lonoak commented 6 years ago

Cierro este issue.