WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)
-   -   https mit Apache (http://www.wcm.at/forum/showthread.php?t=208245)

madspike 20.01.2007 15:07
https mit Apache
 
Wenn ich gesicherte Webseiten (https) und ungesicherte (http) über einen Apache-Webserver laufen lasse, muss ich dann noch zusätzlich etwas berücksichtigen in Bezug auf Datensicherheit?

Sprich: Wie soll die Struktur der Datenverzeichnisse für einen sicheren Betrieb aufgebaut sein?

Oder wäre es insgesamt besser 2 Server zu betreiben einen für https und einen für http?

m@rio 20.01.2007 22:33
Re: https mit Apache
 
Zitat:
Original geschrieben von madspike
Sprich: Wie soll die Struktur der Datenverzeichnisse für einen sicheren Betrieb aufgebaut sein?
SSL (https) verschlüsselt nur die _Übertragung_ der Daten. Die Struktur dahinter ist, rein im Hinblick auf SSL, daher völlig egal.

madspike 21.01.2007 18:33
Wenn ich nun die https-Verbindung nehme, damit sich die User mittels Benutzername und Kennwort anmelden, ist es danach noch sinnvoll die gesicherte Verbindung aufrecht zu erhalten?

Nach dem Einloggen kann ich dem Benutzer mittels der IP erkennen und die gewünschten Seiten doch auch nur mit einer http-Verbindung übermitteln.

roro 21.01.2007 18:54
https hat an sich nichts mit einem Login zu tun, sondern nur dann die Daten verschlüsselt übertragen werden.
Die Einrichtung eines https-Server unter Apache zählt nicht unbedingt zu den einfachsten.

Einige wichtige Punkte.

* Korrektes Zertifakt erstellen
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

m@rio 22.01.2007 11:18
Zitat:
Original geschrieben von roro
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
Doch, tun sie problemlos. Du kannst nur pro IP nur einen SSL Host haben, da via https kein name-based virtual Hosting möglich ist.

madspike 23.01.2007 10:37
Danke für die Antworten.

So wie ich das jetzt verstanden habe ist es wohl am Besten wenn ich zwei Virtual Hosts mache. Einen für das https-Login und den zweiten für http.Wobei der Zugriff auf den zweiten (http) nur dann autorisiert wird wenn man sich erfolgreich eingeloggt hat.

madspike 23.01.2007 10:38
Zitat:
Original geschrieben von roro
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.
Ja, der Server wird unter Linux laufen :)

Potassium 29.01.2007 19:05
Zitat:
Original geschrieben von roro
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.
ad 1: natürlich laufen sie auf der selben IP ;)
ad2: aussichtslos? bei mir läuft der zu 100% stable.

Ein Zertifikat bekommst du zb auf www.cacert.org (Gratis!)

m@rio 31.01.2007 15:13
Zitat:
Original geschrieben von Potassium
Ein Zertifikat bekommst du zb auf www.cacert.org (Gratis!)
Bei dem leider jeder "major Browser" (IE, Firefox...) eine Sicherheitswarnung ausgibt. Die in Wirklichkeit zwar irrelevant ist, aber vermutlich die breite DAU-Masse deutlich abschrecken wird.

Potassium 31.01.2007 16:39
Tjoah, DAUs müssen halt zahlen :p :D :rolleyes:


Alle Zeitangaben in WEZ +2. Es ist jetzt 23:00 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag