Ssl

Einklappen
X
Einklappen
 
  • Seite von 3
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 template Weiter
  • #31
    Noch eine Frage bezüglich htaccess und SSL:

    Ist es sinnvoll, nur die erste Seite per SSL zu übertragen (bei einem von htaccess geschützten Verzeichnis)?
    Dann würde die Passwortübertragung ja verschlüsselt sein. Und danach? Weiss da dann der Browser, dass es noch der selbe User ist, oder wird das Passwort und Username vor jeder Seitenübertragung kontrolliert.

    Ich denke zweiteres, denn als ich ein Skript geschrieben hatte, wurde direkt nachdem das Passwort geändert wurde das neue Passwort abgefragt, bevor man an die nächste Seite weitergeleitet wurde.


    Zusatzfrage:

    Wie ist es, wenn ein Benutzer das Browserfenster einer sicheren Verbindung schließt? Ist das dann gefährlich?
    Auf allen bekannten Login-Seiten sollte ja auch ein Logout stattfinden.
    Was für Gefahren bestehen, wenn das Browserfenster einfach geschlossen wird?
    Zuletzt geändert von LazyLow; 29.11.2002, 10:06.

    Kommentar

    • #32
      Ist es sinnvoll, nur die erste Seite per SSL zu übertragen (bei einem von htaccess geschützten Verzeichnis)?
      Dann würde die Passwortübertragung ja verschlüsselt sein. Und danach? Weiss da dann der Browser, dass es noch der selbe User ist, oder wird das Passwort und Username vor jeder Seitenübertragung kontrolliert.
      letzteres.

      der server fordert vor dem ausliefern jeder datei, die in einem .htaccess-geschützten verzeichnis liegt, erneut benutzername und passwort an.

      der browser merkt sich diese daten nach der erstmaligen eingabe, und übermittelt sie dann bei jedem neuen aufruf einer seite aus dem geschützen bereich, ohne den user erneut fragen zu müssen.
      I don't believe in rebirth. Actually, I never did in my whole lives.

      Kommentar

      • #33
        Und wie sieht es mit meiner Zusatzfrage aus?

        "Zusatzfrage:

        Wie ist es, wenn ein Benutzer das Browserfenster einer sicheren Verbindung schließt? Ist das dann gefährlich?
        Auf allen bekannten Login-Seiten sollte ja auch ein Logout stattfinden.
        Was für Gefahren bestehen, wenn das Browserfenster einfach geschlossen wird?"

        Nach meinem Verständnis dürfte da nichts passieren, da dann einfach keine Daten mehr gesendet werden. Wieso sind aber bei sensiblen Daten im Internet (web.de, Onlinebanking, ...) immer Logouts notwendig?

        Kommentar

        • #34
          Zu deiner Zusatzfrage.

          Einige dieser Web-Angebote machen einen Doppelten Schutz.

          1) Sichere Übertragung der User Informationen durch SSL
          2) Benutzeranmeldung durch eingenes Log-Script, damit nicht jeder an die User-Daten rankommt.
          3) Sicherheitshalber machen die auch noch ein Logout nach 10 min.
          Zuletzt geändert von Wotan; 07.09.2005, 18:40.
          *winks*
          Gilbert
          ------------------------------------------------
          Hilfe für eine Vielzahl von Problemen!!!
          http://www.1st-rootserver.de/

          Kommentar

          • #35
            Wieso sind aber bei sensiblen Daten im Internet (web.de, Onlinebanking, ...) immer Logouts notwendig?
            bei solchen sachen läuft die benutzer-identifizierung meistens über eine session-id, die per url übertragen wird.

            wenn du jetzt einfach die seite verlässt, ohne dich richtig abzumelden, könnte ja kurz nach dir ein anderer kommen, und die seite wieder aufrufen, da ja z.b. der internet explorer sehr schön die url kürzlich besuchter seiten speichert, um dir die wiedereingabe beim nächsten mal zu erleichtern.

            wenn da jetzt aber eine noch ein url mit gültiger session-id gespeichert ist (session-id solange gültig, bis wie von wotan erwähnt z.b. nach 10 min inaktivität die session automatisch beendet wird), könnte er sehr schön mit deinen daten weiterarbeiten.

            durch den manuellen logout stellst du jedoch sicher, dass die seesion beendet wird, so dass ein kurz nach dir z.b. im internet-cafe surfender selbst mit der url inklusive deiner session-id nicht mehr an deine daten rankommt.
            I don't believe in rebirth. Actually, I never did in my whole lives.

            Kommentar

            • #36
              Sehr einleuchtend beschrieben, danke!

              Es macht also nichts, wenn eine SSL-Übertragung per Fenster schliessen beendet wird, da SSL nur aktiv wird, wenn eine neue Seite angefordert wird?

              Kommentar

              • #37
                Das war recht informative Diskussion

                Das war recht informative Diskussion,

                ich habe versucht SSL auf meinem Server (Suse 8.0 Apache ) openssl zu installieren doch irgendwie bin ich immer wieder gescheitert.

                Es wäre supper wenn jemand ein Tutoriallink (am besten auf Suse distribution zurecht geschnittenes) angeben könnte.


                Danke

                Kommentar

                • #38
                  ssl installation / aktivierung bei phpdev 423

                  Hi, scheint ja richtig was los zu sein hier ;-)

                  und da hätte ich doch auch noch ne kleine frage zu ssl. ich bin nicht gerade linux freak auch wenn ich finde jeder auch nur halbwegs gute server sollte ein unix betriebssystem haben. aber an meiner workstation is schon immer (na gut früher wars dos 6.22) windoof drauf. Klar ich newb server admin installier (selbst konfigen krieg ich nämlich auch nicht hin) halt phpdev zur lokalen entwicklung (will ja nich jedesmal die daten hochspielen..). funktioniert ja auch alles wunderbar aber...

                  Nun zur eigentlich frage:
                  weiß einer wie man bei phpdev423 ssl zum laufen kriegt? mod_ssl läuft, openssl für win32 ist installiert, die ports die apache lauscht sind auf 443 und 80 gestellt, aber ich krieg nur leere seiten wenn ich über non-ssl, port 443 auf mein localhost zugreifen will. und wenn ich mit ssl zugreifen will krieg ich nur einen unerwarteten abbruch (firefox fehlermeldung). ich vermute die httpd.conf is falsch konfiguriert.

                  und das mit dem zertifikat müsst ihr mir auch noch genau erklären. bei openssl ist doch das zertifikat kostenlos oder nicht? wie erstell ich das? wie kommt das in die config?

                  sorry, bin halt ein echter newb was server management angeht. hoffe ihr könnt mir da helfen..

                  MfG
                  iRaS

                  Kommentar

                  • #39
                    open ssl ist nur teil des servers - und ja, kostenlos. das zertifikat kostet nichts (wenn du es selbst machst). allerdings kommen dann hässliche fehlermeldungen, da der ie / andere browser dich ja nicht kennen und daher nicht beurteilen können, ob es unter seriösen bedingungen erstellt wurde.

                    ein "richtiges" zertifikat (zu dem ich dir schwer raten würde) kostet ab ca. 50$.

                    poste einfach mal die httpd.conf und wir schauen weiter...
                    Dieses Schreiben wurde automatisch erstellt und ist ohne Unterschrift gültig.

                    Kommentar

                    • #40
                      uhhh - die willst du nicht sehen

                      na gut ich mach aber nen paar comments raus..

                      PHP-Code:
                      ServerType standalone
                      ServerRoot                       "C:/phpdev/apache"
                      PidFile logs/httpd.pid
                      ScoreBoardFile logs                      /apache_runtime_status
                      #ResourceConfig conf/srm.conf
                      #AccessConfig conf/access.conf
                      Timeout 300
                      KeepAlive On
                      MaxKeepAliveRequests 100
                      KeepAliveTimeout 15
                      MaxRequestsPerChild 0
                      ThreadsPerChild 50
                      #Listen 3000
                      #Listen 12.34.56.78:80
                      #BindAddress *

                      #LoadModule vhost_alias_module modules/mod_vhost_alias.so
                      #LoadModule mime_magic_module modules/mod_mime_magic.so
                      LoadModule status_module modules/mod_status.so
                      LoadModule info_module modules                      /mod_info.so
                      #LoadModule speling_module modules/mod_speling.so
                      LoadModule rewrite_module modules/mod_rewrite.so
                      #LoadModule anon_auth_module modules/mod_auth_anon.so
                      #LoadModule dbm_auth_module modules/mod_auth_dbm.so
                      #LoadModule digest_auth_module modules/mod_auth_digest.so
                      LoadModule digest_module modules/mod_digest.so
                      #LoadModule proxy_module modules/mod_proxy.so
                      #LoadModule cern_meta_module modules/mod_cern_meta.so
                      LoadModule expires_module modules/mod_expires.so
                      LoadModule headers_module modules                      /mod_headers.so
                      #LoadModule usertrack_module modules/mod_usertrack.so
                      #LoadModule unique_id_module modules/mod_unique_id.so


                      #LoadFile "C:/phpdev/openssl/bin/libeay32.dll"   Anderes Verzeichnis...
                      LoadFile "C:/Windows/system32/libeay32.dll"
                      #LoadFile "C:/phpdev/openssl/bin/ssleay32.dll"   Die ebenfalls...
                      LoadFile "C:/Windows/system32/ssleay32.dll"
                      LoadModule ssl_module modules/mod_ssl.so

                      ##PHPDEV_PERL##LoadFile "C:/phpdev/Perl/bin/perl56.dll"
                      ##PHPDEV_PERL##LoadModule perl_module modules/mod_perl.so

                      ClearModuleList
                      #AddModule mod_vhost_alias.c
                      AddModule mod_env.c
                      AddModule mod_log_config                      .c
                      #AddModule mod_mime_magic.c
                      AddModule mod_mime.c
                      AddModule mod_negotiation                      .c
                      AddModule mod_status                      .c
                      AddModule mod_info                      .c
                      AddModule mod_include                      .c
                      AddModule mod_autoindex                      .c
                      AddModule mod_dir                      .c
                      AddModule mod_isapi                      .c
                      AddModule mod_cgi                      .c
                      AddModule mod_asis                      .c
                      AddModule mod_imap                      .c
                      AddModule mod_actions                      .c
                      #AddModule mod_speling.c
                      AddModule mod_userdir.c
                      AddModule mod_alias                      .c
                      AddModule mod_rewrite                      .c
                      AddModule mod_access                      .c
                      AddModule mod_auth                      .c
                      #AddModule mod_auth_anon.c
                      #AddModule mod_auth_dbm.c
                      #AddModule mod_auth_digest.c
                      AddModule mod_digest.c
                      #AddModule mod_proxy.c
                      #AddModule mod_cern_meta.c
                      AddModule mod_expires.c
                      AddModule mod_headers                      .c
                      #AddModule mod_usertrack.c
                      #AddModule mod_unique_id.c
                      AddModule mod_so.c
                      AddModule mod_setenvif                      .c

                      ##PHPDEV_PERL##AddModule mod_perl.c

                      AddModule mod_ssl.c

                      ExtendedStatus On

                      # Port: The port to which the standalone server listens.  Certain firewall
                      # products must be configured before Apache can listen to a specific port.
                      # Other running httpd servers will also interfere with this port.  Disable
                      # all firewall, security, and other services if you encounter problems.
                      # To help diagnose problems use the Windows NT command NETSTAT -a
                      #
                      #Port 80

                      ##
                      ##  SSL Support
                      ##
                      ##  When we also provide SSL we have to listen to the
                      ##  standard HTTP port (see above) and to the HTTPS port
                      ##
                      <IfDefine SSL>
                      Listen 80
                      Listen 443
                      </IfDefine>
                      ## Bemerkung meinerseits: wenn ich <IfDefine ..> und </IfDefine> auskommentiere
                      ## hört der server wenigstens auf 443 - also ich glaube SSL ist nicht defined...

                      ServerAdmin [email]mei.oide@schluckt.net[/email]
                      ServerName localhost
                      DocumentRoot                       "C:/phpdev/www/"

                      <Directory />
                                                Options FollowSymLinks MultiViews
                          AllowOverride None
                      </Directory>

                      <                      Directory "C:/phpdev/www/">
                                                Options Indexes FollowSymLinks MultiViews Includes ExecCGI
                          AllowOverride AuthConfig FileInfo
                          Order allow                      ,deny
                          Allow from localhost 127.0.0.1
                      </Directory>

                      <                      IfModule mod_userdir.c>
                                                UserDir "C:/phpdev/apache/users/"
                      </IfModule>

                      #<Directory "C:/phpdev/apache/users">
                      #    AllowOverride FileInfo AuthConfig Limit
                      #    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
                      #    <Limit GET POST OPTIONS PROPFIND>
                      #        Order allow,deny
                      #        Allow from all
                      #    </Limit>
                      #    <LimitExcept GET POST OPTIONS PROPFIND>
                      #        Order deny,allow
                      #        Deny from all
                      #    </LimitExcept>
                      #</Directory>

                      <IfModule mod_dir.c>
                                                DirectoryIndex index.html index.php
                      </IfModule>

                      AccessFileName .htaccess

                      <Files "^\.ht">
                                                Order allow,deny
                          Deny from all
                          Satisfy All
                      </Files>

                      #
                      # CacheNegotiatedDocs: By default, Apache sends "Pragma: no-cache" with each
                      # document that was negotiated on the basis of content. This asks proxy
                      # servers not to cache the document. Uncommenting the following line disables
                      # this behavior, and proxies will be allowed to cache the documents.
                      #
                      #CacheNegotiatedDocs

                      UseCanonicalName On

                      <IfModule mod_mime.c>
                                                TypesConfig conf/mime.types
                      </IfModule>

                      DefaultType text/plain

                      <IfModule mod_mime_magic.c>
                                                MIMEMagicFile conf/magic
                      </IfModule>

                      HostnameLookups Off
                      ErrorLog logs                      /error.log
                      LogLevel warn

                      LogFormat                       "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
                      LogFormat                       "%h %l %u %t \"%r\" %>s %b" common
                      LogFormat                       "%{Referer}i -> %U" referer
                      LogFormat                       "%{User-agent}i" agent

                      CustomLog logs                      /access.log common

                      #CustomLog logs/referer.log referer
                      #CustomLog logs/agent.log agent

                      #CustomLog logs/access.log combined 
                      und noch nen haufen anderes zeug, wenn du das auchnoch lesen willst klick einfach hier ...

                      P.S.: Muss ich eigentlich perl installiert haben um ssl zu nutzen? weil wenn ich den perl mod aktiviere (perl ist installiert) startet der server nicht mehr...

                      Kommentar

                      • #41
                        also so wie ich das sehe, ist kein virtual host definiert. schau dir die sektion in der doku mal an...
                        Dieses Schreiben wurde automatisch erstellt und ist ohne Unterschrift gültig.

                        Kommentar

                        • #42
                          also virtual host hab ich jetzt eingerichtet, aber wie auch davor scheint der garnicht auf port 443 zu reagieren

                          PHP-Code:
                          <IfDefine SSL>
                          Listen 80
                          Listen 443
                          </IfDefine>
                          [...]
                          <                          IfDefine SSL>
                                                     SSL Virtual Host Context

                          </IfDefine
                          beides scheint nicht geladen zu werden. wenn ich beim unteren das <IfDefine> und </IfDefine> auskommentiere startet der server nicht. was doch bedeutet, dass wenn SSL defined wär würde er garnicht starten... oder?

                          und perl muss ich nicht aktivieren? weil oben werden ja 2 dateien dlls geladen und die eine dll habe ich erst seit ich perl installiert hab..

                          Kommentar

                          • #43
                            jaaaaa!! ich habs hingekriegt. nach viel rumprobieren habe ich es endlich geschafft. is zwar nicht so ganz die vorzeige config, aber hauptsache es geht. zur entwicklung taugts. danke nochmal für den tipp mit dem virtual host...

                            Greetz
                            iRaS

                            Kommentar

                            Vorherige 1 2 3 template Weiter
                            Lädt...
                            X