openID

Utiliser l'authentification OpenID avec un CMS comme Drupal - mais c'est aussi le cas de WordPress, Joomla,... - chez Hostgator présente quelques difficultés. J'en ai fait l'expérience sur ce blog...
Cela faisait déjà quelques jours que j'essayais de m'authentifier sur ce blog via OpenID grâce à l'identité fournie par myID.is. Quelque soit la manière utilisée, je n'obtenais que des erreurs 404 et parfois des 403. J'ai d'abord accusé ma config Drupal, puis le service offert par myID.is, mais le mystère restait entier et je n'avais pas beaucoup de temps à y consacrer. Hier j'ai donc décidé de prendre le taureau par les cornes (et une heure de mon temps) et me suis rapidement aperçu que la cause de cette erreur n'était pas liée à Drupal (même problème sous WordPress avec d'autres plugins) ni à myID.is (même problème avec d'autres providers).
Le "coupable" est en fait le firewall embarqué dans Apache (le serveur web utilisé par une grande majorité d'hébergeurs "standards") : mod_security. Ou tout du moins sa configuration. Chez Hostgator, il s'agit de la règle suivante qui est systématiquement déclenchée lors de l'authentification :

[*] Rule ID: 340163 
[*] URLS Affected: /openid/consumer
[*] Description: Remote File Injection attempt in ARGS (MM)

Cette règle est censé protéger des injections d'urls. Par malchance, les modules OpenID des CMS précités utilisent justement une approche similaire.

J'ai donc contacté le support technique de mon hébergeur qui a :

• compris le problème ;
• accepté de white-lister mon domaine ;
• et résolu le ticket en moins d'une demi heure.

Habituellement le support de HostGator est à ranger dans la catégorie "correcte mais sans plus". Mais sur ce coup, j'ai vraiment été bluffé, je dois avouer.

Après une rapide recherche sur internet, il semblerait que ce genre de problème ne se produise pas que chez HostGator et que l'on puisse le rencontrer aussi bien sur de l'hébergement mutualisé que dédié. J'espère donc que la description du problème que je vous propose vous permettra de contacter le support technique de votre hébergeur avec quelques "billes". Reste après la qualité et la bonne fois de l'équipe de support qui peut tout changer puisque la résolution de ce problème ne dépend pas de vous...

MyID est un service qui propose une gestion de l'identité numérique en ligne. La procédure de vérification est assez simple (quoi qu'un peu longuette !) : elle repose sur la validation d'accès à un compte bancaire nominatif et à une vérification d'adresse postale nominative par challenge / response...via un courrier papier ! Une fois la procédure terminée vous pouvez authentifier vos contenus numériques ; pour l'instant c'est limité aux sites web, mais il y a dans leur cartons l'authentification d'oeuvres numériques et la "signature" de transactions bancaires en ligne (c'est sur la toile que ça se dit, mais rien d'officiel sur le site de ce qui a bien failli être le vaporware de l'année dernière).

Dans les faits, ça donne ça :

Plus le fait que l'adresse de mon profil est aussi une identité OpenID. Reste plus qu'à faire fonctionner le client OpenID pour Drupal et ça, ça n'a pas l'air d'être une partie de plaisir...