Hallo.
Ich nutze ein SSL Zertifikat.
Durch Änderung der .htaccess und der index.php im Root funktioniert alles bisher optimal.
Nun ist mir grade aufgefallen das ich im Admincenter index.php/admin/admin/index/index von Firefox angezeigt bekomme das Inhalte blockiert werden. Das liegt wohl an dem System Status der von eurem Server abgerufen wird.
Wie/Wo kann ich das Problem am besten beheben?
verwendete ilch Version: 2.0 (alpha)
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch CMS 2.X » Fehlersuche und Probleme » [IN PLANUNG] SSL Zertifikat Problem
| Geschlossen | ||
-
Mo. 13.04.2015
16:57 Uhr
#1
- Registriert seit
- 28.01.2013
- Beiträge
- 272
- Beitragswertungen
-
Mo. 13.04.2015
23:35 Uhr
#2
- Registriert seit
- 22.05.2014
- Beiträge
- 2.298
- Beitragswertungen
Meiner Meinung nach ist die einzig sinnvolle Lösung, dass ilch.de auch über HTTPS erreichbar ist und das Ilch 2.0 diese Informationen dann auch über HTTPS abfragt. -
Schön und gut, aber eigentlich möchte ich nicht so viel Geld "für nichts" ausgeben. ilch.de speichert keine sensiblen Daten.
Und ein selbst signiertes Zertifikat an solch einer Stelle macht dann auch nicht viel Sinn.
Als Alternative könnte man die Anfrage bei Ilch nicht über Javascript aufrufen, oder aber die eigene Seite als Proxy verwenden.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Di. 14.04.2015
14:08 Uhr
#4
- Registriert seit
- 22.05.2014
- Beiträge
- 2.298
- Beitragswertungen
Ilch.de arbeitet mit Benutzername und Passwort.
Die reale Gefahr hier wäre also, dass hier Benutzerkonten von Dritten genutzt werden und das Passwort hier auch bei anderen Diensten benutzt werden könnte. Zudem weiß man ja nicht was per "PN" so besprochen wird. Da kommt man natürlich oft zum Schluss, dass der Benutzer selber Schuld ist.
Vielleicht würde auch ein Zertifikat von StartSSL reichen?
Das würde die Abfrage ob dem Zertifikat vertraut werden soll und die Meldung wegen der geblockten Inhalte vermeiden. Trotzdem ist es kostenlos.
Ich rede hier im speziellen von den StartSSL Free (Class 1)-Zertifikaten.
Ein Zertifikat wäre hierfür für ilch.de, sowie einer gewählten Subdomain (z.B. www für www.ilch.de) gültig.
Es dürfen allerdings auch mehrere Zertifikate erstellt werden.
Das einzige Problem ist, dass es Geld kosten würde, wenn du Zertifikate zurückrufen willst/musst. Das war z.B. zuletzt bei der Heartbleed-Lücke nötig, weil man davon ausgehen musste, dass der private Schlüssel entwendet wurde.
www.startssl.com/ -
Di. 14.04.2015
16:41 Uhr
#5
- Registriert seit
- 25.07.2007
- Beiträge
- 870
- Beitragswertungen
Es braucht hier kein SSL. (Es werden keine sensiblen Daten übertragen)
Wir können es so umbauen, dass er zunächst PHP/Sockets/den Server zur Informationsbeschaffung verwendet.
Falls dies wegen Server-Restrektionen nicht geht muss dann die Javaskript als alternative her. -
Di. 14.04.2015
16:59 Uhr
#6
- Registriert seit
- 28.01.2013
- Beiträge
- 272
- Beitragswertungen
Ich denke das die Ilch Nutzer dem Team sowie dem Script vertrauen. Da würtde ein kostenloses Zertifikat von externer Link oder externer Link vollkommen reichen. Darum geht es ja bei einem Zertifikat. Vertrauen der Nutzer.
Ich wäre für einen Spendenaufruf, der für 1 Jahr die Kosten eines Zertifikats deckt^^
Mein single Domain Zertifikat kostet mich im Jahr 23,88€ was 1,99€ im Monat ist.
Das ist nicht die Welt finde ich.
Edit: Pion war schneller^^
Zurück zum eigentlichem Problem.
Wäre es eine Möglichkeit die benötigten Daten über eine Art Umleitung abzurufen? Eine ungesicherte Verbindung die außerhalb des Scripts stattfindet worauf das Script dann gesichert zugreifen kann?
Zuletzt modifiziert von xxlynusxx am 14.04.2015 - 17:00:49 -
Di. 14.04.2015
17:52 Uhr
#7
- Registriert seit
- 25.07.2007
- Beiträge
- 870
- Beitragswertungen
Auch möglich. Ich lass mir was einfallen. Aktuell ist das ja eh nur die aktuelle Versionsnummer die gehohlt wird
Transferklassen müssen ja noch gebaut werden
-
Di. 14.04.2015
18:46 Uhr
#8
- Registriert seit
- 22.05.2014
- Beiträge
- 2.298
- Beitragswertungen
@ xxlynusxx
Es irritiert mich gerade ein wenig, dass du erst ein kostenloses Zertifikat wie ich von z.B. StartSSL vorschlägst und dann von einen Spendenaufruf sprichst.
@ all
Vor allem ein Zertifikat für eine Domain mit der Form der Authentifizierung gibt es ja bei StartSSL kostenlos. Wenn man ein Zertifikat braucht mit Wildcard wie *.ilch.de, mehrere Domains oder ein EV-Zertifikat, dann wäre das nicht mehr kostenlos.
Also kurz gesagt: So wie ich es bis jetzt gesehen habe würde das kostenlose Zertifikat von StartSSL reichen. Dies wäre für ilch.de und www.ilch.de. Andere Subdomains werden nicht benutzt oder?
Im Falle von Webspace kommt es wohl auf den Anbieter an, wie man das Zertifikat dann einbindet. Keine Ahnung.
Zitat
HTTPS hat je nach Zertifikat die Vorteile:- Identität des Verbindungspartners kann verifiziert werden (kommt auf das Zertifikat an)
- Informationen werden nicht im Klartext übertragen
- Informationen können auf den Weg vom Server zum Client nicht manipuliert werden.
Also das was dann ungesichert abgefragt wird und am besten noch ungeprüft in die eigene Seite eingebunden wird (z.B. per iframe), kann alles mögliche sein.
Da kriege ich als Laie (also kein Sicherheitsexperte), der sich dieses Wissen aus reinen Eigenbedarf angeeignet hat, sogar schon Bauchschmerzen. -
Also man kann auf einer https aufgerufenen Seite auch keine http Iframes einbinden, soweit ich weiß. Generell keine Ressourcen die nicht über https geladen werden.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
-
Mi. 15.04.2015
09:21 Uhr
#10
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
Zitat geschrieben von Mairu
jop so ist es! -
Mi. 15.04.2015
11:51 Uhr
#11
- Registriert seit
- 22.05.2014
- Beiträge
- 2.298
- Beitragswertungen
Das habe ich auch nicht gemeint.
Ich habe mich auf das von xxlynusxx bezogen, was ich auch in meinem Post zitiert habe und da ging es darum den Inhalt über HTTP zu laden um das dann über einen Umweg auf der über HTTPS ausliefernden Seite einzubinden.
Der Inhalt kommt dann nicht mehr von einem externen Server über HTTP, sondern vom eigenen über HTTPS und dann sieht das für den Browser natürlich alles schön aus.
Also würde man z.B. den Inhalt über HTTP laden (welcher dann möglicherweise manipuliert ist), als Datei auf dem Server ablegen (als Beispiel) und dieses dann in seiner Seite einbinden (z.B. ungeprüft per iframe). Also kann man sich so alles mögliche versehentlich in seine Seite einbinden. -
Mi. 15.04.2015
18:18 Uhr
#12
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Achso, naja in dem Fall läd man sich ja nicht alles mögliche sondern ggf. ein paar Versionszahlen, generell ist dagegen nichts auszusetzen, wenn man dem Zielhost vertraut und man die empfangenen Daten entsprechend prüft.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
Mi. 15.04.2015
18:37 Uhr
#13
- Registriert seit
- 28.01.2013
- Beiträge
- 272
- Beitragswertungen
Das ist ja mein reden. Die ilch Nutzer vertrauen ilch. Somit ist eine SSL Verbindung unnötig. -
Mo. 01.06.2015
11:46 Uhr
#14
- Registriert seit
- 28.01.2013
- Beiträge
- 272
- Beitragswertungen
hat evtl jmd nen tipp wie ich mit nem zertifikat werbung (z.b. binlayer) einbinden kann? finde irgendwie keine lösung. -
Mo. 01.06.2015
12:29 Uhr
#15
- Registriert seit
- 25.07.2007
- Beiträge
- 870
- Beitragswertungen
Zitat geschrieben von xxlynusxx
Ein extra Thread reicht doch
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten