Browser-Login über SSL?

Alles, was den Apache betrifft, kann hier besprochen werden.

Browser-Login über SSL?

Postby 1icarus1 » 31. March 2006 13:47

Hallo,

es ist ja ohne weiteres möglich einzelne Seiten über SSL zu encrypten und somit abzusichern. Wenn sich allerdings jemand über den Browser-Login mit username und password authentifiziert, gehen die Daten als Klartext übers Netz. Kann ich den Apache so konfigurieren, dass das über SSL läuft und ich nicht auf Alternativen wie AuthType Digest angewiesen bin?

Ach ja, verwende einen Apache 1.3.

Gruß
Jörg
1icarus1
 
Posts: 6
Joined: 31. March 2006 13:04

Postby deepsurfer » 31. March 2006 14:42

die Auth. geschieht aber schon beim aufruf https:// ??

oder kommt man erst mit http:// zum Auth. und nach dem Auth. wird https:// benutzt ?
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby 1icarus1 » 31. March 2006 15:01

Es sind nur einzelne Seiten für die SSL erzwungen wird. Aufruf kann also sowohl über http als auch https erfolgen.

Allen Seiten ist aber gemein, dass man auf sie nur von bestimmten IP-Ranges oder (extern) über username/passwort zugreifen kann. Sprich wer irgendeine Seite auf dem Server aufruft bekommt das Browserspezifische Loginscreen, das dann die eingegeben Daten zur Authentifizierung an den Apache schickt. Nur diese Daten sollen SSL encrypted werden, die eigentliche Seite die aufgerufen wird nicht.
Weiß nicht, ob das überhaupt möglich ist!
1icarus1
 
Posts: 6
Joined: 31. March 2006 13:04

Postby deepsurfer » 31. March 2006 17:57

Die Authentifizierung mittels mod_rewrite immer auf https:// schicken lassen, dann ist auch der Auth vorgang gecryptet.
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby 1icarus1 » 31. March 2006 21:45

Ja, das wird wahrscheinlich die einzigste Möglichkeit sein. Werds austesten.
Danke!
1icarus1
 
Posts: 6
Joined: 31. March 2006 13:04

Postby ingoshome » 03. April 2006 16:35

Hast Du damit das gewünschte Ziel erreicht?

> ... wer irgendeine Seite auf dem Server aufruft bekommt das
> Browserspezifische Loginscreen, [...] Nur diese Daten sollen SSL
> encrypted werden, die eigentliche Seite die aufgerufen wird nicht.

Zu rewrite habe ich nur gelesen - viel sogar - aber noch nichts gemacht.
Mir mangelt es an jeglicher Vorstellungskraft, wie da anzusetzen wäre:
schliesslich erkenne ich ja am Aufruf (URL) nicht, dass der User jetzt login
bekommen wird bzw. dass er schon logged in ist. Ich bräuchte das auch,
hab aber keine Ahnung wie ...

Wer mag mir da auf die Sprünge helfen?

Vielen Dank - ingo
ingoshome
 
Posts: 6
Joined: 26. March 2006 18:19
Location: DE-München

Postby 1icarus1 » 04. April 2006 07:40

Habe jetzt doch einfach die ganze Seite über https laufen, anders ging es bei mir nicht. Damit ist der Auth-Vorgang ja auf jeden Fall auch mit verschlüsselt.

Code in der httpd.conf könnte dafür wie folgt aussehen:
Code: Select all
...
<Directory /opt/apache/htdocs/nsmdwed/secure >
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)  https://{SERVER_NAME}%{REQUEST_URI} [R=301,L]
</Directory>
...

Damit werden alle Seiten unter diesem Directory auf https redirected -aber auch noch alle die darunter liegen! Sollten Seiten unter /opt/apache/htdocs/nsmdweb/secure/notsecure wieder über http laufen, müsste vor der RwRule folgende RwC eingefügt werden:
Code: Select all
RewriteCond %{REQUEST_URI} !^/nsmdweb/secure/notsecure

Zusätzlich noch folgendes im <VirtualHost *:433> ergänzen:
Code: Select all
RewriteEngine On
RewriteCond %{HTTPS} =on
RewriteCond %{REQUEST_URI} !^/nsmdweb/secure
RewriteRule ^(.*) http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]


Damit erzwingt man für Seiten unter secure https, wohingegen für alle anderen http erzwungen wird.

Gruß
Jörg
1icarus1
 
Posts: 6
Joined: 31. March 2006 13:04

JS?

Postby ingoshome » 06. April 2006 20:32

Hallo Jörg,

Hab mir gedacht, dass es in diese Richtung geht. Aber vielleicht kommt doch
noch ein Retter vorbei und hilft uns auf die Srünge!?

Ein ganz anderer Ansatz kommt mir in den Sinn: JavaScript!?:

In der Fehlerseite unter http, wenn Der Login noch nicht statt-gefunden hat
(AccessDenied) die Location auslesen und mit selbiger auf https: umleiten.

dort muss der Login erfolgen aber die Seite nicht 'existieren lassen' mit der
404er wieder per JavaScript auf http gehen und dann sollte die Anmeldung
verwendet werden und dann kommt die Seite und nicht mehr 403 *hoff*.

Aber bitte: Aus dem Ärmel schütteln könnt ich das auch nicht und Zeit und
Nerven das auszuprobiern hab ich auch nicht und wahrscheinlich ist das auch
nur eine Idee eines verzweifelten Anfängers und jemand mit mehr Erfahrung
würde drüber müde lächeln.

lg!ingo // der nicht mal jede Zeile von Dir verstanden hat - aber wenn er mal gross ist ...
ingoshome
 
Posts: 6
Joined: 26. March 2006 18:19
Location: DE-München

SSL wirklich nötig?

Postby ingoshome » 07. April 2006 16:47

Hallo Jörg,

inziwschen habe ich mir erzählen lassen, dass Login vie SSL gar nicht nötig
sei, weil bei der Standard-Anmeldung zwischen Server und Apache auch so
verschlüsselt gearbeitet wird.

Ich habe daher jetzt die sehr datenhaltigen dinge für die ich eh nur bei der
Anmeldung SSL verwendet hätte, auf die Standard-Anmeldung vertraut.

ob das wirklic so stimmt, kann ich nicht sagen - werde bei Gelegenheit nachlesen.

hier die Anmeldung die ich verwende:

Code: Select all
      AuthName Login
      AuthType Basic
      AuthUserFile x:/.../.htpasswd
      Require valid-user


lg!ingo // der nun mal hofft - aber auch nichts wirklich brisantes auf seinen Seiten hat,
ingoshome
 
Posts: 6
Joined: 26. March 2006 18:19
Location: DE-München

Postby Wiedmann » 07. April 2006 16:54

weil bei der Standard-Anmeldung zwischen Server und Apache auch so verschlüsselt gearbeitet wird.

Nein. Die Anmeldedaten werden bei AuthBasic nur Base64 kodiert und nicht verschlüsselt.

Du kannst aber AuthDigest nehmen. Das wird md5 verschlüsselt.
(Sollte BasicAuth eigentlich meist vorgezogen werden...) Nur wenn du die Nutzdaten auch noch verschlüsseln willst, musst du dann komplett alles über SSL machen.
Wiedmann
AF Moderator
 
Posts: 17106
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

suppervielen dank für's aufklären!

Postby ingoshome » 07. April 2006 17:07

Damit hast wohl die Lösung beschrieben scheint mir.
Ich werd's bei Gelegenheit umsetzen!

Danke - ingo // der blutige anfänger ...
ingoshome
 
Posts: 6
Joined: 26. March 2006 18:19
Location: DE-München


Return to Apache

Who is online

Users browsing this forum: No registered users and 1 guest