jeudi 4 février 2010
Utiliser l'authentification OpenID avec un CMS comme Drupal - mais c'est aussi le cas de WordPress, Joomla,... - chez Hostgator présente quelques difficultés. J'en ai fait l'expérience sur ce blog...
Cela faisait déjà quelques jours que j'essayais de m'authentifier sur ce blog via OpenID grâce à l'identité fournie par myID.is. Quelque soit la manière utilisée, je n'obtenais que des erreurs 404 et parfois des 403. J'ai d'abord accusé ma config Drupal, puis le service offert par myID.is, mais le mystère restait entier et je n'avais pas beaucoup de temps à y consacrer. Hier j'ai donc décidé de prendre le taureau par les cornes (et une heure de mon temps) et me suis rapidement aperçu que la cause de cette erreur n'était pas liée à Drupal (même problème sous WordPress avec d'autres plugins) ni à myID.is (même problème avec d'autres providers).
Le "coupable" est en fait le firewall embarqué dans Apache (le serveur web utilisé par une grande majorité d'hébergeurs "standards") : mod_security. Ou tout du moins sa configuration. Chez Hostgator, il s'agit de la règle suivante qui est systématiquement déclenchée lors de l'authentification :
[*] Rule ID: 340163
[*] URLS Affected: /openid/consumer
[*] Description: Remote File Injection attempt in ARGS (MM)
Cette règle est censé protéger des injections d'urls. Par malchance, les modules OpenID des CMS précités utilisent justement une approche similaire.
J'ai donc contacté le support technique de mon hébergeur qui a :
-
compris le problème ;
-
accepté de white-lister mon domaine ;
-
et résolu le ticket en moins d'une demi heure.
Habituellement le support de HostGator est à ranger dans la catégorie "correcte mais sans plus". Mais sur ce coup, j'ai vraiment été bluffé, je dois avouer.
Après une rapide recherche sur internet, il semblerait que ce genre de problème ne se produise pas que chez HostGator et que l'on puisse le rencontrer aussi bien sur de l'hébergement mutualisé que dédié. J'espère donc que la description du problème que je vous propose vous permettra de contacter le support technique de votre hébergeur avec quelques "billes". Reste après la qualité et la bonne fois de l'équipe de support qui peut tout changer puisque la résolution de ce problème ne dépend pas de vous...
