Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.8 veröffentlicht (17.10.16)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Login, UserCP und AdminCP über SSL (HTTPS)?
#1
Hallo,

ist es irgendwie möglich Login, UserCP und AdminCP über SSL laufen zu lassen? Einige User fragen bei mir deswegen nach. Und auch ich finde dies neben Sicherheitsaspekten auch etwas 'professioneller'.

Ein Zertifikat bzw. (schlechtere Lösung) SSL-Proxy muss natürlich vorhanden sein, das ist mir klar und auch kein Problem.

Das AdminCP lässt sich eigentlich einfach per .htaccess zwingen, da es in einen eigenen Ordner liegt, mir macht nur der Login Probleme und das UserCP.

Gibt es dafür Lösungen? Ähm: Außer das Forum ununterbrochen per SSL laufen zu lassen - das ist keine Option.

gruß querschlaeger
#2
MyBB funktioniert einwandfrei über https... die Verschlüsselung macht ja der Browser und der Webserver untereinander aus, MyBB selbst bekommt davon nichts mit, ergo funktioniert das ohne irgendwas am Code von MyBB zu ändern.

Was du nun vielleicht willst ist ein Plugin, das die Board-URL von http:// auf https:// umbiegt, für die User bzw. die Bereiche, die über https laufen sollen. Ich glaube so ein ähnliches Plugin gab es schon (auto set board url oder so).

Zitat:Außer das Forum ununterbrochen per SSL laufen zu lassen - das ist keine Option.

Sicherheitstechnisch betrachtet ist das aber zumindest für das User CP die einzige Option. Es sei denn du willst tatsächlich so weit gehen, daß für das User CP ein separater Login notwendig wird. Bislang läuft das ja mit dem gleichen Cookie wie der Rest vom Forum auch.

Wenn jemand den http Verkehr mithört hat er den Cookie, da hilft das https danach auch nichts mehr.
#3
Hi,

also das SSL an sich erstmal nichts mit der Software zweichen Server und Browser zu tun hat ist mir klar. Ein extra Login für das UserCP soll auch nicht sein.

Eigentlich wollte ich nur an speziellen Stellen einen Switch von http auf https (Regisitrierung, Login-Formular und alles was im UserCP so läuft). An anderen Stellen wie den Themenansichten etc. soll allerdings kein SSL verwendet werden (zu langsam). Den Cookie dürfte es doch eigentlich egal sein, ob er über SSL erstellt wurde, da er nur den Host und kein Protokoll beinhaltet und somit in beiden Umgebungen läuft.

Wenn der Benutzer-Cookie einmal per SSL erstellt wurde sollte er ab dann eigentlich kein Risiko mehr darstellen, da er kein Password enthält, sondern doch nur eine Prüfsumme.

Naja, ich schau mich mal nach dem Plugin um. Ansonsten muss ich mich wohl selbst ransetzen... (grad gar keine Zeit eigentlich... :undecided: ).

Finde es nur merkwürdig das noch niemand dran gedacht hat Formulardaten per SSL zu übertragen.
#4
Der Cookie wird vom Client doch mit jedem Request an den Server geschickt. Das ist der einzige Weg mit dem sich der Client beim Server identifizieren kann.

Wenn du nun SSL einsetzen willst um ein Abhören der Verbindung zu verhindern, dann aber bestimmte Seiten unverschlüsselt per HTTP überträgst, dann hat doch der Angreifer alles was er braucht - ohne separates Login im User CP braucht er doch nur den Cookie um da reinzukommen - dann seinerseits mit SSL.

Oder was genau willst du mit dem SSL nun bezwecken? Dass keiner mithört wenn jemand ein E-Mail-Formular abschickt? Die PMs usw. kann man ja auch so noch nachlesen.

HTTPS steigert die Sicherheit nur wenn von der Authentifizierung bis zum Logout alles exklusiv über diese verschlüsselte Verbindung läuft. Wenn du Löcher läßt, kannst du dir den Aufwand auch gleich ganz sparen.
#5
Wenn ich weiter drüber nachdenke hast du recht.

Okay, dann so: Solange man nicht eingeloggt ist, soll kein HTTP verwendet werden und sobald man sich einloggt (inkl. Login-Formular) soll HTTPS verwendet werden.

Da gibts nicht zufällig was?
#6
Da mir sowieso gerade langweilig ist mach ich dir so ein Plugin bis morgen.

Würds ja gleich jetzt machen, jedoch muss ich gleich zu meiner FReundin und komm dann erst wieder am späten Abend zurück Wink

MfG Megaleecher
Höre nie auf besser zu werden, weil dann hast du aufgehört gut zu sein.
#7
Angesichts der schieren Anzahl Plugins die der querschlaeger schon unter die Leute geworfen hat sollte man meinen daß er so ein Plugin auch selbst hinbekommt. Smile Etwas fertiges dafür ist mir noch nicht untergekommen.

Der Teufel dürfte bei dem Ding im Detail stecken.

z.B. was wenn jemand aufs Forum verlinkt, das läuft dann mal mit http und mal mit https.

Anders als beim Online-Banking, wo der https-Teil ein wirklich abgeschlossener Bereich ist, ist ein Forum ja was Öffentliches.

Hier zu garantieren daß die Auth ausschließlich über SSL geht, das wird ganz schön schwierig. Da muss man einerseits dem Login-Cookie das Secure-Flag verpassen und andererseits dafür sorgen, daß man nicht auf die http-Schiene rutscht und dann auf einmal wieder als Gast gilt.

Wenn mans richtig wasserdicht und zugleich komfortabel für die User machen will, bekommt man das wahrscheinlich nicht an einem Tag hin.
#8
Nach langem Überlegen und nicht hinhauen meines Regulären Ausdruckes zum erkennen von den Links, die auf das eigene Board zeigen bin ich zu dem Entschluss gekommen, das ich einfach keine Lust mehr habe weiter zu machen.

Aber du könntest es doch einfach per htaccess versuchen.

Irgendso ein rewrite Kram wird das schon von http auf https umwandeln Wink

MfG Megaleecher

//Edit:

Juhu mein 100er Post^^
Höre nie auf besser zu werden, weil dann hast du aufgehört gut zu sein.
#9
(29.06.2009, 22:35)Megaleecher schrieb: Juhu mein 100er Post^^

Gratuliere.


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Ständiger Login im AdminCP erforderlich eisbäronice 10 1.861 13.10.2008, 12:32
Letzter Beitrag: eisbäronice