Schrift
Start · Board · Webprogrammierung mit Perl · mod_perl und Apache
[thread]3179[/thread]

SSL-check nach .htaccess Authentisierung: doppelte Anmeldung nötig... (Seite 2)

Leser: 1


<< |< 1 2 >| >> 19 Einträge, 2 Seiten
GwenDragon
 2006-02-05 18:36
#29818 #29818
User since
2005-01-17
14607 Artikel
Admin1
[Homepage]
user image
Nochmals:
Soll alles auf SSL umgeleitet werden?
oder nur bestimmte URLs?
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
GwenDragon
 2006-02-05 19:07
#29819 #29819
User since
2005-01-17
14607 Artikel
Admin1
[Homepage]
user image
[quote=macMeck,05.02.2006, 17:29]Das heißt ja wohl, dass der Request erstmal so ausgeführt wird und das Rewriting erst nach der Authorization statt findet. Zumindest wenn man es in der .htaccess macht. Richtig?[/quote]
So verstehe ich die Doku auch.
Apache verabeitet erst den Originalrequest und damit greift auch das .htaccess und dann gescheiht erst das redirect.

Wenn jemand ohne SSL sich in dein Skript eingeloggt hat, ist es doch sowieso zu spät und die Daten sind schon unverschlüsselt im Netzt transferiert worden! Da nützt der Redirect auch nichts mehr.
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
Dubu
 2006-02-05 19:19
#29820 #29820
User since
2003-08-04
2145 Artikel
ModeratorIn + EditorIn

user image
Wenn ich die Doku richtig verstehe, dann muessen deine Rewrite-Regeln in die Server-Konfig, nicht in eine .htaccess, denn wenn die .htaccess ausgewertet wird, ist es schon zu spaet.
GwenDragon
 2006-02-05 19:35
#29821 #29821
User since
2005-01-17
14607 Artikel
Admin1
[Homepage]
user image
Ja, es muss in die Serverkonfig.
Aber ohne einen Redirect geht es nicht, wenn jemand nur http:/// aufruft.
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
macMeck
 2006-02-05 19:38
#29822 #29822
User since
2003-08-04
162 Artikel
BenutzerIn
[default_avatar]
[quote=GwenDragon,05.02.2006, 17:36]Nochmals:
Soll alles auf SSL umgeleitet werden?
oder nur bestimmte URLs?[/quote]
Auf diesem virtuellen Server soll alles auf SSL umgeleitet werden... und das natürlich nach Möglichkeit vor der Eingabe der Benutzerdaten. Und da das ganze bei nem Provider gehostet ist, komm ich nicht an die Apache-Configs ran... :angry:
It all works, as long as it's documented!
GwenDragon
 2006-02-06 12:59
#29823 #29823
User since
2005-01-17
14607 Artikel
Admin1
[Homepage]
user image
@macMeck
Oha.
Kannst du beim Support deines Providers nicht anfragen, ob er den Zugang über HTTP (Port 80), sprich die Standard-Konfiguration nicht einfach abschaltet und nur die mit SSL (Port 443) zuläßt?
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
macMeck
 2006-02-06 18:42
#29824 #29824
User since
2003-08-04
162 Artikel
BenutzerIn
[default_avatar]
In einer .htaccess Datei kann man keine Konditionalausdrücke benutzen, oder? So dass man sowas sagen könnte wie
Code: (dl )
1
2
3
4
5
6
if (!https)
    deny from all
else
    AuthType Basic
    ...
end if


Das würde das Problem ja auch lösen.
It all works, as long as it's documented!
GwenDragon
 2006-02-06 21:24
#29825 #29825
User since
2005-01-17
14607 Artikel
Admin1
[Homepage]
user image
Nee, das gibt es nicht.

Für manches brauchst du eben deine vhosts-Konfiguration!

Hast du keinen dedicated/virtual Server?
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
ptk
 2006-02-07 00:48
#29826 #29826
User since
2003-11-28
3645 Artikel
ModeratorIn
[default_avatar]
Wie hier schon erwähnt wurde: wenn der Benutzer sensible Daten (Passwörter) unverschlüsselt verschickt, dann hat er schon verloren. Dabei ist es unerheblich, ob der Request überhaupt den Server erreicht (sprich: Port 80 geöffnet ist) oder ob ein Redirect gemacht wird. Die beste Lösung wäre: dem Benutzer eine Seite präsentieren, auf der hingewiesen wird, dass er eine unsichere Verbindung verwendet hat und dass sein Account deshalb gesperrt wird (wenn die Username-Passwort-Kombination korrekt war). Ansonsten ist die Verwendung von SSL sinnlos...
<< |< 1 2 >| >> 19 Einträge, 2 Seiten



View all threads created 2006-02-05 13:14.