Beiträge: 1.443
Themen: 95
Registriert seit: 15.12.2005
MyBB-Version: 1.6.x
Hallo,
ist es irgendwie möglich Login, UserCP und AdminCP über SSL laufen zu lassen? Einige User fragen bei mir deswegen nach. Und auch ich finde dies neben Sicherheitsaspekten auch etwas 'professioneller'.
Ein Zertifikat bzw. (schlechtere Lösung) SSL-Proxy muss natürlich vorhanden sein, das ist mir klar und auch kein Problem.
Das AdminCP lässt sich eigentlich einfach per .htaccess zwingen, da es in einen eigenen Ordner liegt, mir macht nur der Login Probleme und das UserCP.
Gibt es dafür Lösungen? Ähm: Außer das Forum ununterbrochen per SSL laufen zu lassen - das ist keine Option.
gruß querschlaeger
Beiträge: 2.318
Themen: 13
Registriert seit: 09.11.2008
29.06.2009, 12:49
(Dieser Beitrag wurde zuletzt bearbeitet: 29.06.2009, 12:49 von frostschutz.)
MyBB funktioniert einwandfrei über https... die Verschlüsselung macht ja der Browser und der Webserver untereinander aus, MyBB selbst bekommt davon nichts mit, ergo funktioniert das ohne irgendwas am Code von MyBB zu ändern.
Was du nun vielleicht willst ist ein Plugin, das die Board-URL von http:// auf https:// umbiegt, für die User bzw. die Bereiche, die über https laufen sollen. Ich glaube so ein ähnliches Plugin gab es schon (auto set board url oder so).
Zitat:Außer das Forum ununterbrochen per SSL laufen zu lassen - das ist keine Option.
Sicherheitstechnisch betrachtet ist das aber zumindest für das User CP die einzige Option. Es sei denn du willst tatsächlich so weit gehen, daß für das User CP ein separater Login notwendig wird. Bislang läuft das ja mit dem gleichen Cookie wie der Rest vom Forum auch.
Wenn jemand den http Verkehr mithört hat er den Cookie, da hilft das https danach auch nichts mehr.
Beiträge: 1.443
Themen: 95
Registriert seit: 15.12.2005
MyBB-Version: 1.6.x
Hi,
also das SSL an sich erstmal nichts mit der Software zweichen Server und Browser zu tun hat ist mir klar. Ein extra Login für das UserCP soll auch nicht sein.
Eigentlich wollte ich nur an speziellen Stellen einen Switch von http auf https (Regisitrierung, Login-Formular und alles was im UserCP so läuft). An anderen Stellen wie den Themenansichten etc. soll allerdings kein SSL verwendet werden (zu langsam). Den Cookie dürfte es doch eigentlich egal sein, ob er über SSL erstellt wurde, da er nur den Host und kein Protokoll beinhaltet und somit in beiden Umgebungen läuft.
Wenn der Benutzer-Cookie einmal per SSL erstellt wurde sollte er ab dann eigentlich kein Risiko mehr darstellen, da er kein Password enthält, sondern doch nur eine Prüfsumme.
Naja, ich schau mich mal nach dem Plugin um. Ansonsten muss ich mich wohl selbst ransetzen... (grad gar keine Zeit eigentlich... :undecided: ).
Finde es nur merkwürdig das noch niemand dran gedacht hat Formulardaten per SSL zu übertragen.
Beiträge: 2.318
Themen: 13
Registriert seit: 09.11.2008
Der Cookie wird vom Client doch mit jedem Request an den Server geschickt. Das ist der einzige Weg mit dem sich der Client beim Server identifizieren kann.
Wenn du nun SSL einsetzen willst um ein Abhören der Verbindung zu verhindern, dann aber bestimmte Seiten unverschlüsselt per HTTP überträgst, dann hat doch der Angreifer alles was er braucht - ohne separates Login im User CP braucht er doch nur den Cookie um da reinzukommen - dann seinerseits mit SSL.
Oder was genau willst du mit dem SSL nun bezwecken? Dass keiner mithört wenn jemand ein E-Mail-Formular abschickt? Die PMs usw. kann man ja auch so noch nachlesen.
HTTPS steigert die Sicherheit nur wenn von der Authentifizierung bis zum Logout alles exklusiv über diese verschlüsselte Verbindung läuft. Wenn du Löcher läßt, kannst du dir den Aufwand auch gleich ganz sparen.
Beiträge: 1.443
Themen: 95
Registriert seit: 15.12.2005
MyBB-Version: 1.6.x
Wenn ich weiter drüber nachdenke hast du recht.
Okay, dann so: Solange man nicht eingeloggt ist, soll kein HTTP verwendet werden und sobald man sich einloggt (inkl. Login-Formular) soll HTTPS verwendet werden.
Da gibts nicht zufällig was?
Beiträge: 451
Themen: 25
Registriert seit: 14.02.2009
MyBB-Version: 1.4.4
Da mir sowieso gerade langweilig ist mach ich dir so ein Plugin bis morgen.
Würds ja gleich jetzt machen, jedoch muss ich gleich zu meiner FReundin und komm dann erst wieder am späten Abend zurück
MfG Megaleecher
Höre nie auf besser zu werden, weil dann hast du aufgehört gut zu sein.
Beiträge: 2.318
Themen: 13
Registriert seit: 09.11.2008
Angesichts der schieren Anzahl Plugins die der querschlaeger schon unter die Leute geworfen hat sollte man meinen daß er so ein Plugin auch selbst hinbekommt.
Etwas fertiges dafür ist mir noch nicht untergekommen.
Der Teufel dürfte bei dem Ding im Detail stecken.
z.B. was wenn jemand aufs Forum verlinkt, das läuft dann mal mit http und mal mit https.
Anders als beim Online-Banking, wo der https-Teil ein wirklich abgeschlossener Bereich ist, ist ein Forum ja was Öffentliches.
Hier zu garantieren daß die Auth ausschließlich über SSL geht, das wird ganz schön schwierig. Da muss man einerseits dem Login-Cookie das Secure-Flag verpassen und andererseits dafür sorgen, daß man nicht auf die http-Schiene rutscht und dann auf einmal wieder als Gast gilt.
Wenn mans richtig wasserdicht und zugleich komfortabel für die User machen will, bekommt man das wahrscheinlich nicht an einem Tag hin.
Beiträge: 451
Themen: 25
Registriert seit: 14.02.2009
MyBB-Version: 1.4.4
29.06.2009, 22:35
(Dieser Beitrag wurde zuletzt bearbeitet: 29.06.2009, 22:43 von Megaleecher.)
Nach langem Überlegen und nicht hinhauen meines Regulären Ausdruckes zum erkennen von den Links, die auf das eigene Board zeigen bin ich zu dem Entschluss gekommen, das ich einfach keine Lust mehr habe weiter zu machen.
Aber du könntest es doch einfach per htaccess versuchen.
Irgendso ein rewrite Kram wird das schon von http auf https umwandeln
MfG Megaleecher
//Edit:
Juhu mein 100er Post^^
Höre nie auf besser zu werden, weil dann hast du aufgehört gut zu sein.
Beiträge: 1.443
Themen: 95
Registriert seit: 15.12.2005
MyBB-Version: 1.6.x
(29.06.2009, 22:35)Megaleecher schrieb: Juhu mein 100er Post^^
Gratuliere.