ilch Forum » Ilch CMS 2.X » Fehlersuche und Probleme » [IN PLANUNG] SSL Zertifikat Problem

Geschlossen
  1. #1
    User Pic
    xxlynusxx Mitglied
    Registriert seit
    28.01.2013
    Beiträge
    272
    Beitragswertungen
    4 Beitragspunkte
    Hallo.

    Ich nutze ein SSL Zertifikat.

    Durch Änderung der .htaccess und der index.php im Root funktioniert alles bisher optimal.

    Nun ist mir grade aufgefallen das ich im Admincenter index.php/admin/admin/index/index von Firefox angezeigt bekomme das Inhalte blockiert werden. Das liegt wohl an dem System Status der von eurem Server abgerufen wird.

    Wie/Wo kann ich das Problem am besten beheben?


    verwendete ilch Version: 2.0 (alpha)
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.414
    Beitragswertungen
    394 Beitragspunkte
    Meiner Meinung nach ist die einzig sinnvolle Lösung, dass ilch.de auch über HTTPS erreichbar ist und das Ilch 2.0 diese Informationen dann auch über HTTPS abfragt.
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Schön und gut, aber eigentlich möchte ich nicht so viel Geld "für nichts" ausgeben. ilch.de speichert keine sensiblen Daten.

    Und ein selbst signiertes Zertifikat an solch einer Stelle macht dann auch nicht viel Sinn.

    Als Alternative könnte man die Anfrage bei Ilch nicht über Javascript aufrufen, oder aber die eigene Seite als Proxy verwenden.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.414
    Beitragswertungen
    394 Beitragspunkte
    Ilch.de arbeitet mit Benutzername und Passwort.

    Die reale Gefahr hier wäre also, dass hier Benutzerkonten von Dritten genutzt werden und das Passwort hier auch bei anderen Diensten benutzt werden könnte. Zudem weiß man ja nicht was per "PN" so besprochen wird. Da kommt man natürlich oft zum Schluss, dass der Benutzer selber Schuld ist.

    Vielleicht würde auch ein Zertifikat von StartSSL reichen?

    Das würde die Abfrage ob dem Zertifikat vertraut werden soll und die Meldung wegen der geblockten Inhalte vermeiden. Trotzdem ist es kostenlos.

    Ich rede hier im speziellen von den StartSSL Free (Class 1)-Zertifikaten.

    Ein Zertifikat wäre hierfür für ilch.de, sowie einer gewählten Subdomain (z.B. www für www.ilch.de) gültig.
    Es dürfen allerdings auch mehrere Zertifikate erstellt werden.

    Das einzige Problem ist, dass es Geld kosten würde, wenn du Zertifikate zurückrufen willst/musst. Das war z.B. zuletzt bei der Heartbleed-Lücke nötig, weil man davon ausgehen musste, dass der private Schlüssel entwendet wurde.

    www.startssl.com/
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    Pion Hall Of Fame
    Registriert seit
    25.07.2007
    Beiträge
    870
    Beitragswertungen
    51 Beitragspunkte
    Es braucht hier kein SSL. (Es werden keine sensiblen Daten übertragen)

    Wir können es so umbauen, dass er zunächst PHP/Sockets/den Server zur Informationsbeschaffung verwendet.

    Falls dies wegen Server-Restrektionen nicht geht muss dann die Javaskript als alternative her.
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    xxlynusxx Mitglied
    Registriert seit
    28.01.2013
    Beiträge
    272
    Beitragswertungen
    4 Beitragspunkte
    Ich denke das die Ilch Nutzer dem Team sowie dem Script vertrauen. Da würtde ein kostenloses Zertifikat von externer Link oder externer Link vollkommen reichen. Darum geht es ja bei einem Zertifikat. Vertrauen der Nutzer.

    Ich wäre für einen Spendenaufruf, der für 1 Jahr die Kosten eines Zertifikats deckt^^

    Mein single Domain Zertifikat kostet mich im Jahr 23,88€ was 1,99€ im Monat ist.

    Das ist nicht die Welt finde ich.

    Edit: Pion war schneller^^

    Zurück zum eigentlichem Problem.

    Wäre es eine Möglichkeit die benötigten Daten über eine Art Umleitung abzurufen? Eine ungesicherte Verbindung die außerhalb des Scripts stattfindet worauf das Script dann gesichert zugreifen kann?


    Zuletzt modifiziert von xxlynusxx am 14.04.2015 - 17:00:49
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Pion Hall Of Fame
    Registriert seit
    25.07.2007
    Beiträge
    870
    Beitragswertungen
    51 Beitragspunkte
    Auch möglich. Ich lass mir was einfallen. Aktuell ist das ja eh nur die aktuelle Versionsnummer die gehohlt wird lachen

    Transferklassen müssen ja noch gebaut werden lächeln
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.414
    Beitragswertungen
    394 Beitragspunkte
    @ xxlynusxx
    Es irritiert mich gerade ein wenig, dass du erst ein kostenloses Zertifikat wie ich von z.B. StartSSL vorschlägst und dann von einen Spendenaufruf sprichst. lächeln

    @ all
    Vor allem ein Zertifikat für eine Domain mit der Form der Authentifizierung gibt es ja bei StartSSL kostenlos. Wenn man ein Zertifikat braucht mit Wildcard wie *.ilch.de, mehrere Domains oder ein EV-Zertifikat, dann wäre das nicht mehr kostenlos. lächeln

    Also kurz gesagt: So wie ich es bis jetzt gesehen habe würde das kostenlose Zertifikat von StartSSL reichen. Dies wäre für ilch.de und www.ilch.de. Andere Subdomains werden nicht benutzt oder?

    Im Falle von Webspace kommt es wohl auf den Anbieter an, wie man das Zertifikat dann einbindet. Keine Ahnung.

    ZitatZitat
    Wäre es eine Möglichkeit die benötigten Daten über eine Art Umleitung abzurufen? Eine ungesicherte Verbindung die außerhalb des Scripts stattfindet worauf das Script dann gesichert zugreifen kann?

    HTTPS hat je nach Zertifikat die Vorteile:
    • Identität des Verbindungspartners kann verifiziert werden (kommt auf das Zertifikat an)
    • Informationen werden nicht im Klartext übertragen
    • Informationen können auf den Weg vom Server zum Client nicht manipuliert werden.


    Also das was dann ungesichert abgefragt wird und am besten noch ungeprüft in die eigene Seite eingebunden wird (z.B. per iframe), kann alles mögliche sein.

    Da kriege ich als Laie (also kein Sicherheitsexperte), der sich dieses Wissen aus reinen Eigenbedarf angeeignet hat, sogar schon Bauchschmerzen.
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Also man kann auf einer https aufgerufenen Seite auch keine http Iframes einbinden, soweit ich weiß. Generell keine Ressourcen die nicht über https geladen werden.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    ZitatZitat geschrieben von Mairu
    Also man kann auf einer https aufgerufenen Seite auch keine http Iframes einbinden, soweit ich weiß. Generell keine Ressourcen die nicht über https geladen werden.


    jop so ist es!
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.414
    Beitragswertungen
    394 Beitragspunkte
    Das habe ich auch nicht gemeint. zunge

    Ich habe mich auf das von xxlynusxx bezogen, was ich auch in meinem Post zitiert habe und da ging es darum den Inhalt über HTTP zu laden um das dann über einen Umweg auf der über HTTPS ausliefernden Seite einzubinden.

    Der Inhalt kommt dann nicht mehr von einem externen Server über HTTP, sondern vom eigenen über HTTPS und dann sieht das für den Browser natürlich alles schön aus.

    Also würde man z.B. den Inhalt über HTTP laden (welcher dann möglicherweise manipuliert ist), als Datei auf dem Server ablegen (als Beispiel) und dieses dann in seiner Seite einbinden (z.B. ungeprüft per iframe). Also kann man sich so alles mögliche versehentlich in seine Seite einbinden.
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Achso, naja in dem Fall läd man sich ja nicht alles mögliche sondern ggf. ein paar Versionszahlen, generell ist dagegen nichts auszusetzen, wenn man dem Zielhost vertraut und man die empfangenen Daten entsprechend prüft.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    xxlynusxx Mitglied
    Registriert seit
    28.01.2013
    Beiträge
    272
    Beitragswertungen
    4 Beitragspunkte
    Das ist ja mein reden. Die ilch Nutzer vertrauen ilch. Somit ist eine SSL Verbindung unnötig.
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    xxlynusxx Mitglied
    Registriert seit
    28.01.2013
    Beiträge
    272
    Beitragswertungen
    4 Beitragspunkte
    hat evtl jmd nen tipp wie ich mit nem zertifikat werbung (z.b. binlayer) einbinden kann? finde irgendwie keine lösung.
    0 Mitglieder finden den Beitrag gut.
  15. #15
    User Pic
    Pion Hall Of Fame
    Registriert seit
    25.07.2007
    Beiträge
    870
    Beitragswertungen
    51 Beitragspunkte
    ZitatZitat geschrieben von xxlynusxx
    hat evtl jmd nen tipp wie ich mit nem zertifikat werbung (z.b. binlayer) einbinden kann? finde irgendwie keine lösung.


    Ein extra Thread reicht doch
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten