kostenloser Webspace werbefrei: lima-city


https Verbindung aufbauen

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    programtools

    programtools hat kostenlosen Webspace.

    Hi,
    ich würde meine Seite gerne etwas 'sicherer' haben. Ich verwende Sessions um den benutzer zu speichern. Es soll aber zB auf keinen Fall möglich sein das irgendwie zu fälschen, weil sich dann user a als user c imitieren könnte, was ja auf jeden Fall nicht passieren darf.

    Ich habe mir überlegt, ob es hilfreich wäre eine https verbindung aufzubauen. Aber wie funktioniert soetwas?

    MFG
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hallo programtools,

    um SSL Verbindungen zu ermöglichen musst Du Deinen HTTP-Server entsprechend konfigurieren.
    Wenn Du einen Apache-Server hast, dann findest Du alles notwendige hier:
    http://httpd.apache.org/docs/2.0/ssl/
    Wichtig ist, dass mod_ssl geladen ist und dann kannst Du es machen, wie es im How-To beschrieben ist.
    In Deinem PHP-Code musst Du dafür eigentlich nichts ändern abgesehen von http -> https.
  4. Autor dieses Themas

    programtools

    programtools hat kostenlosen Webspace.

    Und wie seihts hier bei Lima aus? Ich hoste meine Daten ja hier.
    Vielen Dank & MFG
  5. kein https auf lima-city-> zertifikate zu teuer...
  6. Autor dieses Themas

    programtools

    programtools hat kostenlosen Webspace.

    sebulon schrieb:
    zertifikate zu teuer...


    Für was muss man da denn bezahlen? Für diese authentifizierung?
    Es würde doch reichen einfach nur die Daten verschlüsselt zu senden / empfangen ?

    Und noch eine Frage: Hat das Bezug auf das Session-Problem?
    Es ist ja zB auch so, dass wenn ich ein Anmeldeformular habe die Daten wie Passwort & Username unverschlüsselt gesendet werden. Und da könnte man das doch recht einfach abgreifen oder nicht?

    MFG
  7. Hallo programtools,

    ein Zertifikat ist im wesentlichen der öffentliche Schlüssel zum Verschlüsseln der Daten, die an den Server geschickt werden.
    Solche Zertifikate kann sich jeder selber herstellen also muss es noch eine Möglichkeit geben um zu prüfen, ob das Zertifikat echt ist, d.h. auch wirklich zur gewünschten Seite gehört oder ob jemand versucht einem ein falsches Zertifikat unterzuschieben.
    Dafür gibt es sogenannte Certificate authorities. Das sind Unternehmen, die Zertifikate signieren und bei denen geprüft werden kann, ob das Zertifikat echt ist. (Die haben ja in letzter Zeit schlechte Presse gemacht ;-)) Und für diesen Service muss man Zahlen.
    Auf das Session-Problem hat das nur bedingt Bezug. Das einzige, was sich dadurch ändert ist, dass die Anmeldedaten nicht abzugreifen wären, sofern diese bereits über eine SSL-Verbindung übertragen werden.
    Je nachdem was Du unter sicherer verstehst würde ich vorschlagen, dass Du eine Timeout für Sessions setzt. Z.B. nach 30 min Inaktivität wird die Session invalidiert. Wenn Du die Sessions länger haben willst, dann kannst Du ja sensible Bereiche wie z.B. ändern von Benutzerdaten durch eine erneute Passwortabfrage absichern. Grundsätzlich solltest Du die Session anhand eines Hash-Keys (z.B. SHA1 aus Benutzername+Passwort+Timestamp) identifizieren. Im Normalfall sollte es da nicht zu Hashkollisionen kommen. Aber 100% sicher ist da eigentlich nichts.

    Beitrag zuletzt geändert: 11.9.2011 23:26:00 von darkpandemic
  8. sebulon schrieb:
    kein https auf lima-city-> zertifikate zu teuer...
    hmmm.
    ISBN 3-89721-361-3, O'REILLY, Seiten 217-224 (das hier bitte reinziehen!)
  9. hemiolos schrieb:
    sebulon schrieb:
    kein https auf lima-city-> zertifikate zu teuer...
    hmmm.
    ISBN 3-89721-361-3, O'REILLY, Seiten 217-224 (das hier bitte reinziehen!)



    es ist mir bekannt, dass man sich Zertifikate selbst erstellen kann...

    nur sehe ich es wie programtools, dass es besser ist, ein trusted zu haben, damit nciht immer diese hässliche Info kommt, dass man kein vertrauenswürdiges Zertifikat bekommt... von daher ist es unumgänglich, wenn wir davon reden...
  10. Autor dieses Themas

    programtools

    programtools hat kostenlosen Webspace.

    Aber sind diese Zertifikate dann den wirklich sicher? Ich meine wenn im prinziep jeder eins machen kann, dann müsste man sich doch nur irgendwie an dieser Authentifizierung vorbeimogeln. Wird dann dem User ja auch angezeigt aber ob der darauf direckt reagiert?
  11. programtools schrieb:
    Aber sind diese Zertifikate dann den wirklich sicher?...
    genau so sicher wie die 'vertrauenswürdige'.

    programtools schrieb:
    ... nur sehe ich es wie programtools, dass es besser ist, ein trusted zu haben, damit nciht immer diese hässliche Info kommt, dass man kein vertrauenswürdiges Zertifikat bekommt...
    kommt nur so lange du nicht dem browser sagst: ok, ich halte es für vertrauenswürdig. dass man das nicht blindlings tun soll, liegt auf der hand. ich vertraue 'vertrauenswürdigen' auch nicht - das ist aber der unixler-schizophrenie ;o)

    Beitrag zuletzt geändert: 12.9.2011 20:00:08 von hemiolos
  12. Autor dieses Themas

    programtools

    programtools hat kostenlosen Webspace.

    Und wie kann man dann diese eigenen Zertifikate erstellen? Geht sowas dann auch hier bei lima oder geht https hier generell nicht?

    MFG
  13. kochmarkus

    Co-Admin Kostenloser Webspace von kochmarkus

    kochmarkus hat kostenlosen Webspace.

    Hier geht https generell nicht, warum das so ist steht hier.
  14. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!