https mit Apache

madspike · 20.01.2007, 15:07

Wenn ich gesicherte Webseiten (https) und ungesicherte (http) Ã¼ber einen Apache-Webserver laufen lasse, muss ich dann noch zusÃ¤tzlich etwas berÃ¼cksichtigen in Bezug auf Datensicherheit?

Sprich: Wie soll die Struktur der Datenverzeichnisse fÃ¼r einen sicheren Betrieb aufgebaut sein?

Oder wÃ¤re es insgesamt besser 2 Server zu betreiben einen fÃ¼r https und einen fÃ¼r http?

m@rio · 20.01.2007, 22:33

Zitat:

Original geschrieben von madspike
Sprich: Wie soll die Struktur der Datenverzeichnisse fÃ¼r einen sicheren Betrieb aufgebaut sein?

SSL (https) verschlüsselt nur die _Übertragung_ der Daten. Die Struktur dahinter ist, rein im Hinblick auf SSL, daher völlig egal.

madspike · 21.01.2007, 18:33

Wenn ich nun die https-Verbindung nehme, damit sich die User mittels Benutzername und Kennwort anmelden, ist es danach noch sinnvoll die gesicherte Verbindung aufrecht zu erhalten?

Nach dem Einloggen kann ich dem Benutzer mittels der IP erkennen und die gewünschten Seiten doch auch nur mit einer http-Verbindung übermitteln.

roro · 21.01.2007, 18:54

https hat an sich nichts mit einem Login zu tun, sondern nur dann die Daten verschlüsselt übertragen werden.
Die Einrichtung eines https-Server unter Apache zählt nicht unbedingt zu den einfachsten.

Einige wichtige Punkte.

* Korrektes Zertifakt erstellen
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

m@rio · 22.01.2007, 11:18

Zitat:

Original geschrieben von roro
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.

Doch, tun sie problemlos. Du kannst nur pro IP nur einen SSL Host haben, da via https kein name-based virtual Hosting möglich ist.

madspike · 23.01.2007, 10:37

Danke für die Antworten.

So wie ich das jetzt verstanden habe ist es wohl am Besten wenn ich zwei Virtual Hosts mache. Einen für das https-Login und den zweiten für http.Wobei der Zugriff auf den zweiten (http) nur dann autorisiert wird wenn man sich erfolgreich eingeloggt hat.

madspike · 23.01.2007, 10:38

Zitat:

Original geschrieben von roro
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

Ja, der Server wird unter Linux laufen

Potassium · 29.01.2007, 19:05

Zitat:

Original geschrieben von roro
* http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil.
* Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos.

ad 1: natürlich laufen sie auf der selben IP

ad2: aussichtslos? bei mir läuft der zu 100% stable.

Ein Zertifikat bekommst du zb auf www.cacert.org (Gratis!)

m@rio · 31.01.2007, 15:13

Zitat:

Original geschrieben von Potassium
Ein Zertifikat bekommst du zb auf www.cacert.org (Gratis!)

Bei dem leider jeder "major Browser" (IE, Firefox...) eine Sicherheitswarnung ausgibt. Die in Wirklichkeit zwar irrelevant ist, aber vermutlich die breite DAU-Masse deutlich abschrecken wird.

Potassium · 31.01.2007, 16:39

Tjoah, DAUs müssen halt zahlen

20.01.2007, 15:07	#1
madspike Newbie Registriert seit: 20.01.2007 Beiträge: 4	https mit Apache Wenn ich gesicherte Webseiten (https) und ungesicherte (http) Ã¼ber einen Apache-Webserver laufen lasse, muss ich dann noch zusÃ¤tzlich etwas berÃ¼cksichtigen in Bezug auf Datensicherheit? Sprich: Wie soll die Struktur der Datenverzeichnisse fÃ¼r einen sicheren Betrieb aufgebaut sein? Oder wÃ¤re es insgesamt besser 2 Server zu betreiben einen fÃ¼r https und einen fÃ¼r http?

21.01.2007, 18:54	#4
roro Senior Member Registriert seit: 13.07.2006 Beiträge: 192	https hat an sich nichts mit einem Login zu tun, sondern nur dann die Daten verschlüsselt übertragen werden. Die Einrichtung eines https-Server unter Apache zählt nicht unbedingt zu den einfachsten. Einige wichtige Punkte. * Korrektes Zertifakt erstellen * http und https laufen unter Apache nicht über die selbe IP=>2 Server sind von vorteil. * Ich hoffe Du machst das ganze nicht unter Windows sondern unter Linux, denn unter Windows ist die ganze Sache recht aussichtslos. ____________________________________ Inode Partner (SDSL 4 Mbit flat) http://www.inode.at/redirect_partner.php Free WebForum Online Wichteln

21.01.2007, 18:33	#3
madspike Newbie Registriert seit: 20.01.2007 Beiträge: 4	Wenn ich nun die https-Verbindung nehme, damit sich die User mittels Benutzername und Kennwort anmelden, ist es danach noch sinnvoll die gesicherte Verbindung aufrecht zu erhalten? Nach dem Einloggen kann ich dem Benutzer mittels der IP erkennen und die gewünschten Seiten doch auch nur mit einer http-Verbindung übermitteln.

23.01.2007, 10:37	#6
madspike Newbie Registriert seit: 20.01.2007 Beiträge: 4	Danke für die Antworten. So wie ich das jetzt verstanden habe ist es wohl am Besten wenn ich zwei Virtual Hosts mache. Einen für das https-Login und den zweiten für http.Wobei der Zugriff auf den zweiten (http) nur dann autorisiert wird wenn man sich erfolgreich eingeloggt hat.

31.01.2007, 16:39	#10
Potassium Inventar Registriert seit: 06.03.2003 Alter: 37 Beiträge: 3.954 Mein Computer	Tjoah, DAUs müssen halt zahlen

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)