Hallo,
es ist ja ohne weiteres möglich einzelne Seiten über SSL zu encrypten und somit abzusichern. Wenn sich allerdings jemand über den Browser-Login mit username und password authentifiziert, gehen die Daten als Klartext übers Netz. Kann ich den Apache so konfigurieren, dass das über SSL läuft und ich nicht auf Alternativen wie AuthType Digest angewiesen bin?
Ach ja, verwende einen Apache 1.3.
Gruß
Jörg
Browser-Login über SSL?
11 posts
• Page 1 of 1
Browser-Login über SSL?
by 1icarus1 » 31. March 2006 13:47
- 1icarus1
- Posts: 6
- Joined: 31. March 2006 13:04
by deepsurfer » 31. March 2006 14:42
die Auth. geschieht aber schon beim aufruf https:// ??
oder kommt man erst mit http:// zum Auth. und nach dem Auth. wird https:// benutzt ?
oder kommt man erst mit http:// zum Auth. und nach dem Auth. wird https:// benutzt ?
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
-
deepsurfer - AF Moderator
- Posts: 6440
- Joined: 23. November 2004 10:44
- Location: Cologne
- Operating System: Win-XP / Win7 / Linux -Debian
by 1icarus1 » 31. March 2006 15:01
Es sind nur einzelne Seiten für die SSL erzwungen wird. Aufruf kann also sowohl über http als auch https erfolgen.
Allen Seiten ist aber gemein, dass man auf sie nur von bestimmten IP-Ranges oder (extern) über username/passwort zugreifen kann. Sprich wer irgendeine Seite auf dem Server aufruft bekommt das Browserspezifische Loginscreen, das dann die eingegeben Daten zur Authentifizierung an den Apache schickt. Nur diese Daten sollen SSL encrypted werden, die eigentliche Seite die aufgerufen wird nicht.
Weiß nicht, ob das überhaupt möglich ist!
Allen Seiten ist aber gemein, dass man auf sie nur von bestimmten IP-Ranges oder (extern) über username/passwort zugreifen kann. Sprich wer irgendeine Seite auf dem Server aufruft bekommt das Browserspezifische Loginscreen, das dann die eingegeben Daten zur Authentifizierung an den Apache schickt. Nur diese Daten sollen SSL encrypted werden, die eigentliche Seite die aufgerufen wird nicht.
Weiß nicht, ob das überhaupt möglich ist!
- 1icarus1
- Posts: 6
- Joined: 31. March 2006 13:04
by deepsurfer » 31. March 2006 17:57
Die Authentifizierung mittels mod_rewrite immer auf https:// schicken lassen, dann ist auch der Auth vorgang gecryptet.
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
-
deepsurfer - AF Moderator
- Posts: 6440
- Joined: 23. November 2004 10:44
- Location: Cologne
- Operating System: Win-XP / Win7 / Linux -Debian
by ingoshome » 03. April 2006 16:35
Hast Du damit das gewünschte Ziel erreicht?
> ... wer irgendeine Seite auf dem Server aufruft bekommt das
> Browserspezifische Loginscreen, [...] Nur diese Daten sollen SSL
> encrypted werden, die eigentliche Seite die aufgerufen wird nicht.
Zu rewrite habe ich nur gelesen - viel sogar - aber noch nichts gemacht.
Mir mangelt es an jeglicher Vorstellungskraft, wie da anzusetzen wäre:
schliesslich erkenne ich ja am Aufruf (URL) nicht, dass der User jetzt login
bekommen wird bzw. dass er schon logged in ist. Ich bräuchte das auch,
hab aber keine Ahnung wie ...
Wer mag mir da auf die Sprünge helfen?
Vielen Dank - ingo
> ... wer irgendeine Seite auf dem Server aufruft bekommt das
> Browserspezifische Loginscreen, [...] Nur diese Daten sollen SSL
> encrypted werden, die eigentliche Seite die aufgerufen wird nicht.
Zu rewrite habe ich nur gelesen - viel sogar - aber noch nichts gemacht.
Mir mangelt es an jeglicher Vorstellungskraft, wie da anzusetzen wäre:
schliesslich erkenne ich ja am Aufruf (URL) nicht, dass der User jetzt login
bekommen wird bzw. dass er schon logged in ist. Ich bräuchte das auch,
hab aber keine Ahnung wie ...
Wer mag mir da auf die Sprünge helfen?
Vielen Dank - ingo
- ingoshome
- Posts: 6
- Joined: 26. March 2006 18:19
- Location: DE-München
by 1icarus1 » 04. April 2006 07:40
Habe jetzt doch einfach die ganze Seite über https laufen, anders ging es bei mir nicht. Damit ist der Auth-Vorgang ja auf jeden Fall auch mit verschlüsselt.
Code in der httpd.conf könnte dafür wie folgt aussehen:
Damit werden alle Seiten unter diesem Directory auf https redirected -aber auch noch alle die darunter liegen! Sollten Seiten unter /opt/apache/htdocs/nsmdweb/secure/notsecure wieder über http laufen, müsste vor der RwRule folgende RwC eingefügt werden:
Zusätzlich noch folgendes im <VirtualHost *:433> ergänzen:
Damit erzwingt man für Seiten unter secure https, wohingegen für alle anderen http erzwungen wird.
Gruß
Jörg
Code in der httpd.conf könnte dafür wie folgt aussehen:
- Code: Select all
...
<Directory /opt/apache/htdocs/nsmdwed/secure >
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://{SERVER_NAME}%{REQUEST_URI} [R=301,L]
</Directory>
...
Damit werden alle Seiten unter diesem Directory auf https redirected -aber auch noch alle die darunter liegen! Sollten Seiten unter /opt/apache/htdocs/nsmdweb/secure/notsecure wieder über http laufen, müsste vor der RwRule folgende RwC eingefügt werden:
- Code: Select all
RewriteCond %{REQUEST_URI} !^/nsmdweb/secure/notsecure
Zusätzlich noch folgendes im <VirtualHost *:433> ergänzen:
- Code: Select all
RewriteEngine On
RewriteCond %{HTTPS} =on
RewriteCond %{REQUEST_URI} !^/nsmdweb/secure
RewriteRule ^(.*) http://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
Damit erzwingt man für Seiten unter secure https, wohingegen für alle anderen http erzwungen wird.
Gruß
Jörg
- 1icarus1
- Posts: 6
- Joined: 31. March 2006 13:04
JS?
by ingoshome » 06. April 2006 20:32
Hallo Jörg,
Hab mir gedacht, dass es in diese Richtung geht. Aber vielleicht kommt doch
noch ein Retter vorbei und hilft uns auf die Srünge!?
Ein ganz anderer Ansatz kommt mir in den Sinn: JavaScript!?:
In der Fehlerseite unter http, wenn Der Login noch nicht statt-gefunden hat
(AccessDenied) die Location auslesen und mit selbiger auf https: umleiten.
dort muss der Login erfolgen aber die Seite nicht 'existieren lassen' mit der
404er wieder per JavaScript auf http gehen und dann sollte die Anmeldung
verwendet werden und dann kommt die Seite und nicht mehr 403 *hoff*.
Aber bitte: Aus dem Ärmel schütteln könnt ich das auch nicht und Zeit und
Nerven das auszuprobiern hab ich auch nicht und wahrscheinlich ist das auch
nur eine Idee eines verzweifelten Anfängers und jemand mit mehr Erfahrung
würde drüber müde lächeln.
lg!ingo // der nicht mal jede Zeile von Dir verstanden hat - aber wenn er mal gross ist ...
Hab mir gedacht, dass es in diese Richtung geht. Aber vielleicht kommt doch
noch ein Retter vorbei und hilft uns auf die Srünge!?
Ein ganz anderer Ansatz kommt mir in den Sinn: JavaScript!?:
In der Fehlerseite unter http, wenn Der Login noch nicht statt-gefunden hat
(AccessDenied) die Location auslesen und mit selbiger auf https: umleiten.
dort muss der Login erfolgen aber die Seite nicht 'existieren lassen' mit der
404er wieder per JavaScript auf http gehen und dann sollte die Anmeldung
verwendet werden und dann kommt die Seite und nicht mehr 403 *hoff*.
Aber bitte: Aus dem Ärmel schütteln könnt ich das auch nicht und Zeit und
Nerven das auszuprobiern hab ich auch nicht und wahrscheinlich ist das auch
nur eine Idee eines verzweifelten Anfängers und jemand mit mehr Erfahrung
würde drüber müde lächeln.
lg!ingo // der nicht mal jede Zeile von Dir verstanden hat - aber wenn er mal gross ist ...
- ingoshome
- Posts: 6
- Joined: 26. March 2006 18:19
- Location: DE-München
SSL wirklich nötig?
by ingoshome » 07. April 2006 16:47
Hallo Jörg,
inziwschen habe ich mir erzählen lassen, dass Login vie SSL gar nicht nötig
sei, weil bei der Standard-Anmeldung zwischen Server und Apache auch so
verschlüsselt gearbeitet wird.
Ich habe daher jetzt die sehr datenhaltigen dinge für die ich eh nur bei der
Anmeldung SSL verwendet hätte, auf die Standard-Anmeldung vertraut.
ob das wirklic so stimmt, kann ich nicht sagen - werde bei Gelegenheit nachlesen.
hier die Anmeldung die ich verwende:
lg!ingo // der nun mal hofft - aber auch nichts wirklich brisantes auf seinen Seiten hat,
inziwschen habe ich mir erzählen lassen, dass Login vie SSL gar nicht nötig
sei, weil bei der Standard-Anmeldung zwischen Server und Apache auch so
verschlüsselt gearbeitet wird.
Ich habe daher jetzt die sehr datenhaltigen dinge für die ich eh nur bei der
Anmeldung SSL verwendet hätte, auf die Standard-Anmeldung vertraut.
ob das wirklic so stimmt, kann ich nicht sagen - werde bei Gelegenheit nachlesen.
hier die Anmeldung die ich verwende:
- Code: Select all
AuthName Login
AuthType Basic
AuthUserFile x:/.../.htpasswd
Require valid-user
lg!ingo // der nun mal hofft - aber auch nichts wirklich brisantes auf seinen Seiten hat,
- ingoshome
- Posts: 6
- Joined: 26. March 2006 18:19
- Location: DE-München
by Wiedmann » 07. April 2006 16:54
weil bei der Standard-Anmeldung zwischen Server und Apache auch so verschlüsselt gearbeitet wird.
Nein. Die Anmeldedaten werden bei AuthBasic nur Base64 kodiert und nicht verschlüsselt.
Du kannst aber AuthDigest nehmen. Das wird md5 verschlüsselt.
(Sollte BasicAuth eigentlich meist vorgezogen werden...) Nur wenn du die Nutzdaten auch noch verschlüsseln willst, musst du dann komplett alles über SSL machen.
- Wiedmann
- AF Moderator
- Posts: 17102
- Joined: 01. February 2004 12:38
- Location: Stuttgart / Germany
suppervielen dank für's aufklären!
by ingoshome » 07. April 2006 17:07
Damit hast wohl die Lösung beschrieben scheint mir.
Ich werd's bei Gelegenheit umsetzen!
Danke - ingo // der blutige anfänger ...
Ich werd's bei Gelegenheit umsetzen!
Danke - ingo // der blutige anfänger ...
- ingoshome
- Posts: 6
- Joined: 26. March 2006 18:19
- Location: DE-München
11 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 203 guests