Backend https SSL

[ConTester]

In Version 4.8.12 ist es offenbar immer noch Standard, dass man sich ins Backend via http unverschlüsselt einloggt. Mein Ziel ist es den Backend-Login-Vorgang via https SSL-verschlüsselt zu erzwingen und habe dazu hier im Forum diverse Lösungsansätze gefunden:

http://forum.contenido.org/viewtopic.php?f=52&t=14856 (aus dem Jahr 2006 und durch Änderung einer Core-Funktion)

http://forum.contenido.org/viewtopic.php?f=35&t=11696 (auch aus 2006 und mod_rewrite bzw. meta-forward können nicht verhindern, dass die Login-Daten unverschlüsselt übertragen werden)

http://forum.contenido.org/viewtopic.php?f=50&t=13376 (aus 2006 und für Version 4.6)

http://forum.contenido.org/viewtopic.php?t=13407 (Feature-Request aus 2006, nicht recherchierbar ob im Jahr 2010 umgesetzt oder noch offen)

Mag sein, dass ich den entscheidenden Forenbeitrag nicht gefunden habe, aber wenn ich mir das Rechercheergebnis so betrachte, scheint es noch keine offizielle Lösung für die Anforderung zu geben, das Backend konsistent mit SSL zu sichern. Daher schaue ich fragend in die Runde: Wie löst ihr diese Anforderung heute in Version 4.8.12? Durch hartes kodieren von base href in /contenido/main.loginform.php (Zeile 109)? Oder verursacht das Folgeprobleme da main.loginform.php z.B. irgendwo inkludiert wird (vergleiche http://forum.contenido.org/viewtopic.php?p=83774#p83774)? Vielen Dank für Vorschläge!

[idea-tec]

Kann ich nicht nachvollziehen, habe mehr als genug installationen mit ssl-verschlüsselung auch im Backend ...
config.php ordentlich einstellen und schon klappt es

[ConTester]

Das Frontend soll nicht SSL-verschlüsselt sein, lediglich das Backend. Soweit ich weiss geht derzeit mit der offiziellen Version (ohne individuelle Anpassungen) nur beides einheitlich http oder https, nicht aber Backend https und Frontend http. Korrekt?

[idea-tec]

Not korrekt ... Domain und Pfade werden getrennt von einander "konfiguriert"

Backend -> config.php
Frontend -> <prefix>_clients / Administration - Mandanten - <Mandant>

[ConTester]

Ja wunderbar, klappt! Besten Dank!

[ConTester]

Ich nochmal, läuft nämlich doch nicht 100% rund. Ich bin im Backend mit https eingeloggt und will einen Artikel editieren (Content > Artikel > Editor). Bei einem Klick auf den blauen Edit-Button wird leider kein SSL-gesicherter Pfad verwendet (z.B. http://www.domain.de/cms/front_content. ... 3eeb8bb447) obwohl in /contenido/includes/config.php folg. steht:

Code: Alles auswählen

/* The web server path to the contenido backend */
$cfg['path']['contenido_fullhtml']      = 'https://www.domain.de/contenido/';

/* The web path to the desired WYSIWYG-Editor */
$cfg['path']['wysiwyg_html']            = 'https://www.domain.de/contenido/external/wysiwyg/tinymce3/';

/* The web path to all WYSIWYG-Editors */
$cfg['path']['all_wysiwyg_html']            = 'https://www.domain.de/contenido/external/wysiwyg/';

Der Browser gibt dann jedes Mal einen Sicherheitshinweis aus (in Firefox: "Obwohl diese Seite verschlüsselt ist, werden die von Ihnen eingegebenen Informationen über eine unverschlüsselte Verbindung gesendet und können leicht von Dritten gelesen werden."). Bis auf http://www.domain.de/cms/front_content.php?action=[...] und http://www.domain.de/cms/css/style_tiny.css werden alle anderen Pfade mit https aufgerufen.

An welcher Schraube muss man bitte sehr denn noch drehen um den Editor im Backend SSL-gesichert verwenden zu können? Habe dazu leider keine Dokumentation gefunden und freue mich auf Hinweise! Dankeschön!