SSL

[Darth-Vader]

so, ich hab es endlich mal zeitlich hinbekommen SSL auf dem Serv des AStA zu installieren. Somit kann ich nun das Backend von Contenido auf dem Serv ber SSL laufen lassen, so dass login, pw und session-infos net mehr in plain text per http übertragen werden, sondern nun eben über eine verschlüsselte Verbindung mittels https.

Sehen kann man das z.B., indem man https://www.asta-zw.de/cms/front_content.php?idcat=9 aufrufen kann, zusätzlich halt zu http://www.asta-zw.de/cms/front_content.php?idcat=9. Nun geh ich halt einfach hin und setz einen "versteckten" Link auf das Backend über nen https-link statt einen http-link.


Um das auf dem Webserver Apache zu bewerkstelligen brauch man halt openssl und das entsprechende Apache-Modul (mod-ssl). Danach muss man die httpd.conf anpassen.


Unter Debian kann man die 2 ganz leicht mit folgendem Befehl, den man als root ausführen muss, installieren lassen:

Code: Alles auswählen

apt-get install libapache-mod-ssl libapache-mod-ssl-doc

Hilfreich beim Einrichten waren folgende beiden Links:


- http://www.modssl.org/docs/2.8/

- http://www.natecarlson.com/linux/ipsec-x509.php#casetup




Wenn ihr Probs beim Aufsetzen haben solltet, dann fragt hier einfach mal, evtl. kann ich euch ja helfen...




so long,
Darth.

[emergence]

deine seite leitet dann aber sofort auf http:// um...

[Darth-Vader]

ups,

stümmt, da ich die index.html immer auf http weiterleite da man für die seite ansich ja kein ssl brauch, hab ich vergessen zu erwähnen... *sorry*





Ok, jetzt aber:


Das es funktioniert, sieht man daran, dass folgende beide Links funktionieren:

- https://www.asta-zw.de/cms/front_content.php?idcat=9 (-> mit Verschlüsselung)

- http://www.asta-zw.de/cms/front_content.php?idcat=9 (-> ohne Verschlüsselung)



Gruss,
Darth.

[Beleuchtfix]

Hallo Darth-

Die Anzeige in HTTPS klappt ohne Probleme, aber das Login ist auch weiterhin ohne SSL möglich! Und wichtig ist doch bestimmt, dass das Login nicht abgefangen wird.

Hat schon jemand eine Lösung gefunden, dass man beim http Aufruf der Lginseite automatisch auf die HTTPS Seite weitergeleitet wird, bzw. der Button Login nur über SSL die Daten verschickt?

Was ich gefunden habe ist: ins contenido Verzeichnis eine index.html zu erstellen, die dann automatisch auf https:// ....index.php leitet.

Die Leute sind ja faul und da wird die komplette Datei nicht eingegeben, aber 100% ist das nicht

ups,

stümmt, da ich die index.html immer auf http weiterleite da man für die seite ansich ja kein ssl brauch, hab ich vergessen zu erwähnen... *sorry*


Ok, jetzt aber:

Das es funktioniert, sieht man daran, dass folgende beide Links funktionieren:

- https://www.asta-zw.de/cms/front_content.php?idcat=9 (-> mit Verschlüsselung)

- http://www.asta-zw.de/cms/front_content.php?idcat=9 (-> ohne Verschlüsselung)



Gruss,
Darth.

Gruß Florian

[Darth-Vader]

die möglichkeit, die du vorschlägst nehm ich auch, was andres is mir auch nicht eingefallen.

klar, man könnte ein SSLRequireSSL in einer .htaccess ablegen, aber wenn man das zb in ../contenido macht, dann kann man sich über https einloggen aber bilder & Co werden im Backend nicht mehr angezeigt und der Editor sowie das Speichern machen Probleme...

ich hab einfach einen versteckten Link auf den Login mit https in Layout der Seite eingeplegt, und die 3 Leute, die einen Login haben, benutzen den, wenn ich denen das sage.

(schließlich bin ich ja der admin/op ! -> "what was your user name again?" ) (http://members.iinet.net.au/~bofh/)