Seite 1 von 1
SSL für Frontend-Login möglich?
Verfasst: Fr 9. Okt 2009, 12:57
von rethus
Ist es möglich, dass der Login im Frontend via einer gesicherten SSL Verbindung durchgeführt wird, wobei die normale Webseite ungesichert ist bzw. bleibt?
Wie würde man dazu vorgehen, bzw. was wäre zu beachten?
Re: SSL für Frontend-Login möglich?
Verfasst: Fr 9. Okt 2009, 13:05
von idea-tec
geht, ist aber quatsch, oder?
das ssl-zertifikat muss ja so oder so bezahlt werden, egal ob nur der login verschlüsselt wird oder der rest auch.
zu beachten ist, dass der Link des form-action hardcodiert mit voller url eingetragen wird.
Re: SSL für Frontend-Login möglich?
Verfasst: Fr 9. Okt 2009, 13:14
von kummer
nun, das kann durchaus sinnvoll sein. eine gesicherte verbindung (ssl) erhöht einerseits die bandbreite und erzeugt andererseits cpu-last. für einen normalen auftritt macht das denn auch keinen sinn. für einen memberbereich jedoch ganz sicher. ausserdem ist für einen memberbereich auch nicht notwendigerweise ein offizielles zertifikat erforderlich. man kann auch ein selbergestricktes verwenden, wenn der benutzerkreis nicht allzugross ist und dieser damit leben kann, dass ein entsprechender hinweis erscheint. auf die qualität der verschlüsselung hat das keinen einfluss, sondern lediglich auf die qualität der authentizität des servers.
ich würde dir vorschlagen, für den memberbereich gleich einen eigenen mandanten anzulegen. dann kannst du verschlüsselte requests auf den einen mandanten und unverschlüsselte auf den anderen mandanten weiterleiten (bei ansonsten gleicher domäne). du kannst freilich auch für den memberbereich eine eigene subdomäne verwenden. du hast damit den vorteil, dass der upload-bereich der beiden bereiche getrennt ist.
Re: SSL für Frontend-Login möglich?
Verfasst: Fr 9. Okt 2009, 14:38
von rethus
Also ich schildere das vorhaben mal kurz.
Es sollte gewährleistet sein, dass keine Fehlermeldung bei wechsel auf https erscheint.
Zudem sollte über den Benutzerlogin im Frontend die Verlinkung so erfolgen, dass alles im Frontend via ssl verschlsselt ist.
Klar wäre es sinnvoll, direkt die ganze Page zu sichern, aber es soll nun mal so sein (Customer is King
)
Den Webspace müsste ich dann so einstellen, das https im gleichen verzeichnis liegt, oder? (Weil auf dem Server gibt es die möglichkeit ein separates https-verzeichnis zu nutzen.
Danke für Eure Infos.
Re: SSL für Frontend-Login möglich?
Verfasst: Fr 9. Okt 2009, 14:55
von kummer
rethus hat geschrieben:Es sollte gewährleistet sein, dass keine Fehlermeldung bei wechsel auf https erscheint.
dazu brauchst du einfach ein ordentliches zertifikat. geht nicht anders. kostet etwas, aber inzwischen nicht mehr viel.
rethus hat geschrieben:Zudem sollte über den Benutzerlogin im Frontend die Verlinkung so erfolgen, dass alles im Frontend via ssl verschlsselt ist.
wie jetzt? alles oder nur der member-bereich? weil...
rethus hat geschrieben:Klar wäre es sinnvoll, direkt die ganze Page zu sichern, aber es soll nun mal so sein (Customer is King
)
wäre eben nicht sinnvoll. hier will der kunde offenbar, was vernünftig ist.
rethus hat geschrieben:Den Webspace müsste ich dann so einstellen, das https im gleichen verzeichnis liegt, oder? (Weil auf dem Server gibt es die möglichkeit ein separates https-verzeichnis zu nutzen.
wie du es genau machen willst, bleibt dir überlassen. ich hätte die installation in das https-verzeichnis gemacht, zwei mandanten wobei ein mandant (=memberbreich) sowie das contenido-backend über ssl angesprochen wird und der andere mandant (=normale seite) über http. das bedeutet dann:
* pflege über ssl
* member-bereich über ssl
* normale site über http (ungesichert)
* trennung im backend zwischen normaler site und member-bereich