Hallo,
ist es irgendwie möglich Login, UserCP und AdminCP über SSL laufen zu lassen? Einige User fragen bei mir deswegen nach. Und auch ich finde dies neben Sicherheitsaspekten auch etwas 'professioneller'.
Ein Zertifikat bzw. (schlechtere Lösung) SSL-Proxy muss natürlich vorhanden sein, das ist mir klar und auch kein Problem.
Das AdminCP lässt sich eigentlich einfach per .htaccess zwingen, da es in einen eigenen Ordner liegt, mir macht nur der Login Probleme und das UserCP.
Gibt es dafür Lösungen? Ähm: Außer das Forum ununterbrochen per SSL laufen zu lassen - das ist keine Option.
gruß querschlaeger
Hi,
also das SSL an sich erstmal nichts mit der Software zweichen Server und Browser zu tun hat ist mir klar. Ein extra Login für das UserCP soll auch nicht sein.
Eigentlich wollte ich nur an speziellen Stellen einen Switch von http auf https (Regisitrierung, Login-Formular und alles was im UserCP so läuft). An anderen Stellen wie den Themenansichten etc. soll allerdings kein SSL verwendet werden (zu langsam). Den Cookie dürfte es doch eigentlich egal sein, ob er über SSL erstellt wurde, da er nur den Host und kein Protokoll beinhaltet und somit in beiden Umgebungen läuft.
Wenn der Benutzer-Cookie einmal per SSL erstellt wurde sollte er ab dann eigentlich kein Risiko mehr darstellen, da er kein Password enthält, sondern doch nur eine Prüfsumme.
Naja, ich schau mich mal nach dem Plugin um. Ansonsten muss ich mich wohl selbst ransetzen... (grad gar keine Zeit eigentlich... :undecided: ).
Finde es nur merkwürdig das noch niemand dran gedacht hat Formulardaten per SSL zu übertragen.
Der Cookie wird vom Client doch mit jedem Request an den Server geschickt. Das ist der einzige Weg mit dem sich der Client beim Server identifizieren kann.
Wenn du nun SSL einsetzen willst um ein Abhören der Verbindung zu verhindern, dann aber bestimmte Seiten unverschlüsselt per HTTP überträgst, dann hat doch der Angreifer alles was er braucht - ohne separates Login im User CP braucht er doch nur den Cookie um da reinzukommen - dann seinerseits mit SSL.
Oder was genau willst du mit dem SSL nun bezwecken? Dass keiner mithört wenn jemand ein E-Mail-Formular abschickt? Die PMs usw. kann man ja auch so noch nachlesen.
HTTPS steigert die Sicherheit nur wenn von der Authentifizierung bis zum Logout alles exklusiv über diese verschlüsselte Verbindung läuft. Wenn du Löcher läßt, kannst du dir den Aufwand auch gleich ganz sparen.
Wenn ich weiter drüber nachdenke hast du recht.
Okay, dann so: Solange man nicht eingeloggt ist, soll kein HTTP verwendet werden und sobald man sich einloggt (inkl. Login-Formular) soll HTTPS verwendet werden.
Da gibts nicht zufällig was?