Eine einzelne Seite über SSL Proxy laufen lassen Einstellungen

[saschapi]

Ich möchte gerne eine einzelnen Seite (Anmeldformular) über einen SSL Proxy laufen lassen. Leider ist ja die Base der Seiten im Meta-Tag enthalten, d.h. wird selbst beim Aufruf der Seite über den SSL-Proxy (https://ssl-account.com/domain.de/ordner/anmeldung.html) die wieder auf die normale Domain geroutet: www.domain.de/ordner/anmeldung.html

wie würdet ihr das lösen? Ich will aus Performancegründen eigentlich nicht die ganze Seite über den Proxy laufen lassen Kann ich nicht irgendwie hinbekommen, dass diese Anmeldung über den SSL-Proxy läuft? Von mir aus kann danach auch alles über den Proxy laufen. Aber wenn Leute einfach surfen finde ich das doof!

Freue mich auf Euren Input und bedanke mich schon jetzt für selben!

Sascha

[STam]

Hallo Saschapi,

vorweg sei die Frage erlaubt warum du dich gezwungen siehts einen SSL-Proxy zu nutzen?

Gruß

[saschapi]

Weil er kostenlos ist!

Edit(Zusatzfrage): Soweit ich das sehe ist das Problem aber bei einem richtigen Zertifikat dasselbe? Oder täusche ich mich!?

[STam]

Hi Saschapi,

Weil er kostenlos ist!

nunja es könnte also auch so sein das es sich um einen PLESK/CONFIXX (Virtuellen)Server handelt, dort wird das gerne mal gemacht.
Dort bieten einige Provider dieses sogar als Produkt oder kostenlos an!

Grundsätzlich stehen ja einem echtem SSL Betrieb nur zwei Probleme/Fragen entgegen:
Was kostet ein Zertifikat bzw was will ich ausgeben?
A: Tja, wie das somal ist kann man von 0.- bis 699.- EU alles ausgeben was man will
- 0.- Euro https://www.cacert.org/help.php?id=6 (Umsonst!)
- 1299.- (2 Jahre) Euro SSL-Cert mit EV http://www.trustcenter.de/products/true_bu...sid_with_ev.htm

Bei den Zertifikaten von CaCert gibt es halt nur das eine Problem... die Verbreitung.
Es ist nämlich so das die etablierten SSL-Provider gerne weiterhin Geld mit Luft verdienen
wollen und somit die standartmäßige Installation der meisten Browser (und auch OS) CaCert gar nicht anbieten!
Das kann man aber sehrwohl per Hand erledigen, dazu gibt es entsprechende Pakete oder Scripte.
Deswegen hat man ja auch erst kürzlich diese neuen Zertifikate mit EV (Extended-Validation-SSL-Certificates) erfunden/eingeführt.
Dieser Trusted-Service(von Microsoft und VeriSign) kostet natürlich nochmal extra und die Browser Hersteller machen halt mit...

Bei geschlossenen Nutzergruppen (also Communities oder Backend-Logins für Kunden) ist es aber vertretbar und billiger
Zertifikate von CaCert oder anderen freien Zertifizierungs-Gruppen (Kreisen) zu nutzen.

Ich habe nur eine IP-Adresse!
A: Der Grund mit den IP's ist eher vorgeschoben den jeder Internetnutzer hat das Recht auf eine entsprechende Anzahl von IP's
die er kostenlos nutzen darf! Im Normalfall beitet jeder Provider dies auf Anfrage (evlt. gegen eine Bearbeitungsgebühr) an,
wie zB HE und registriert diese dann bei RIPE.

Ein SSL-Proxy ist da eher so etwas wie was halbes und nichts ganzes... ich kenne sogar konfigurationen wo man das
mit Symbolischen Links direkt erledigt hat (ohne 'mod_proxy' und 'mod_rewrite')... auch ein weg.
Das Problem ist nur das es eben bei solchen 'rangeklatschten' SSL-Proxy's auch der Webinhalt verstehen muss das das nun eine HTTPS.-Verbindung sein soll.
Viele Scripte/Shops usw testen hierbei nur auf einen bestimmten URL Teil 'https://' oder den Port 443.
Das die eigentliche SSL Adresse dann aber außerhalb der konfigurierten Domain liegt bringt dann die meisten eingebauten Regelwerke ins schleudern
Bei einem SSL-Proxy (über den 'mod_proxy') sollte man dann schon auf $_SERVER['HTTP_X_FORWARDED_SERVER'] testen und konfigurieren.

Gruß

[saschapi]

Ok. Verstehe verstehe! Das war mir so nicht klar und führt vielleicht auch noch einmal zu einer anderen Entscheidung

Nichts desto trotz würde das doch am Ursprungsproblem nix ändern? Angenommen ich hole mir ein Zertifikat. Wie bekomme ich denn dann hin, dass nicht das ganze Sefrengoprojekt auf https:// läuft sondern nur eine Seite? Ist vermutlich schwierig oder?

[STam]

Hmm,

ich hatte das mal so gelöst das ich immer eine Sub-Domain eingerichtet habe mit einem extra Projekt!
Also das Webprojekt liegt auf 'http://www.projekt1.de' = projekt1 und der Login auf 'https://login.projekt1.de' = projekt2 (oder 'https://ssl.projekt1.de/login') und in den Benutzergruppen einfach
das so geregelt hatte das diese auf beide Projekte zugriff haben. Dabei muss der AUTH_Cookie von SF aber Subdomains einschließen von .projekt1.de (Konfigoption=Domain mit Punkt!)!

Der Login-Button auf http://projekt1/seite1.htm hat dann einfach auf https://projekt2/login.htm gezeigt und nach dem Login wurde der User auf http://projekt1/erfolg.htm umgeleitet!

Nicht 'das gelbe vom Ei' aber ganz elegant fand ich
Schön in dieses Konzept passt dann aber auch wenn das Backend ebenfalls eine eigene Subdomain hat 'http://backend.projekt1.de'.

Eine andere Lösung wird es dann wohl eher in die Ecke Hacks schaffen und nicht in die offizielle Version.

Gruß

[saschapi]

Ja, dass klingt schon mal nach einem Ansatz. Vielleicht sollte man langfristig mal an eine Lösung denken bei der man für ein Projekt optional einen SSL-Base angeben kann um eben für Shops etc. SSL nutzen zu können.

[burnme]

Ich habe das gleiche Problem. Habe mein eigenes Zertifikat, aber durch die base url (http://...) lädt er Teile der Seite (css, bilder) unverschlüsselt.
Dadurch erhält der Benutzer natürlich die Meldung, dass einige Daten unverschlüsselt sind, und ob er den "unsicheren" Inhalt laden möchte.

Habe die Base URL jetzt mit https://... angepasst, worduch natürlich alles verschlüsselt wird, und keine Meldungen mehr kommen.
Generell kein Problem, ich fände es aber persönlich besser, wenn der Benutzer mitbekommt, jetzt, wo er sich die Formularseite sieht,
auf welcher man sensiblen Daten eingibt, wird er auf die sichere SSL Verbindung umgeleitet.

Hat jemand eine Idee für einen Hack? Zwei Projekte find ich nicht so elegant, da lass ich lieber die komplette Seite verschlüsselt.

[burnme]

okay, ich habs jetzt einfach mit einem zweiten Layout, in welchem die "unsicheren" Elemente einfach
alle mit absolutem Pfad drin stehen.
Dann mault der Browser nicht mehr rum.
Auch nicht gerade elegant, aber was solls...

Aber vielleicht hat trotzdem jemand ne Idee für nen "guten" Hack...

[saschapi]

Hab über PHP eine Afrage im Layout laufen wo dein Workaround dann bei bestimmten IDs einfach automatisch gebaut wird bzw. einfach die Base getauscht wird. Ist also das gleiche nur ohne zwei Layouts!

[burnme]

ah, stimmt, das natürlich noch einfacher...
gute idee, aber auf das offensichtlichste kommt man einfach nicht...
danke... werde ich gleich mal umsetzen...

[burnme]

http://forum.sefrengo.org/index.php?showtopic=1980

Hier ist mein Hack für diese Idee...
Hoffe, er hilft weiter...