nicht angemeldet
Nur bestimmte Elemente über SSL laufen lassen
Hi,
Ist es im Apache oder IIS möglich z.B. über irgendwelche Filter zu bestimmen, dass Bilder oder andere Seitenelemente nicht verschöüsselt werden bzw. über standard http übertragen werden.
Bilder oder Stylesheets etc. sind bei mir nicht sicherheitsrelevant.
MfG Thomas
-
Hi,
eine solche Funktion gibt es meines Wissens nicht. Das einzige, was Du machen kannst ist, absolute Pfade zu den jeweiligen Objekten anzugeben, als z.B.:
statt <img src="imsges/bild.gif"> <img src="http://www.domain.de/images/bild.gif>
Diese werden dann natürlich nicht verschlüsselt übertragen. Allerdings geben die meisten Webbrowser dann eine Meldung aus, daß nicht alle Objekte der Seite sicher sind bzw. sicher übertragen werden. Zudem verschwindet dann das kleine Schloss/Schlüssel etc. in der Staustleiste des Browsers, was viele User denken lässt, daß hier nicht verschlüsselt übertragen wird. Hier würde ich dann die User aufklären.
Bitte nenen doch auch mal den Grund, weshalb Du die Bilder nicht verschlüsselt übertragen möchtest. Ich sehe da keinen Sinn drin.
Viele Grüße...
Alex :)
-
Hi Alex und danke für dein Reply,
Da ist auch wirklich kein sinnvoller Grund dahinter! Ich muss damit nur einem Performance Problem auf die Spur kommen, dass ich z.Zt. unter dem *kotz* IIS habe. Eine Umgebung, die sich bei http völlig normal verhält, hat bei mir die krassen Performance Probleme, wenn ich auf https gehe.
cu
-
-
Moin!
Bilder oder Stylesheets etc. sind bei mir nicht sicherheitsrelevant.
Das würde ich aber nicht sagen. Dank SSL wird der gesamte Datenverkehr (also auch, welche URLs abgerufen werden) verschlüsselt. Wenn man als böser Angreifer ebenfalls auf deine Seiten kommt, kann man anhand der unverschlüsselt geladenen Bilder und Stylesheets möglicherweise nachvollziehen, welche Seiten besucht wurden.
Ich will damit sagen: Auch wenn es nicht direkt relevant erscheint, so reißt du dir damit möglicherweise doch Lücken in dein Sicherheitskonzept, die nicht sein müssen. Der einzige Vorteil, den man dadurch hätte, ist eine etwas geringere Serverauslastung, weil die Verschlüsselung wegfällt. Deswegen aber keine Verschlüsselung zu benutzen, ist wirklich die Arme-Leute-Lösung. Besser ist, einfach für mehr Serverkapazität zu sorgen. :) Wenn der Server jetzt schon nicht mehr kann, dann wird er irgendwann bei steigender Benutzung auch ohne Verschlüsselung nicht mehr können, und dann taucht das Problem erneut auf.
- Sven Rautenberg
-
Hi Scen und danke für's Reply,
Ich bin voll und ganz deiner Meinung: wenn SSL/TLS, dann voll. Es geht mir aber wie ich in meinem anderen Reply schon beschrieben habe darum ein Performance-Problem zu eliminieren. Dieser 'Filter' wäre nur für Tests gewesen.
cu
-
Moin nochmal!
Ich bin voll und ganz deiner Meinung: wenn SSL/TLS, dann voll. Es geht mir aber wie ich in meinem anderen Reply schon beschrieben habe darum ein Performance-Problem zu eliminieren. Dieser 'Filter' wäre nur für Tests gewesen.
Das hättest du ja schon ganz simpel vorher dazuschreiben können, oder? :)
Vielleicht solltest du nicht am Symptom rumprobieren, sondern eher die Frage zum IIS hier ins Forum stellen (dafür bin ich dann aber nicht zuständig, ich stümpere nur mit Apaches rum). Zumindest aber solltest du einfach ein wenig weiter ausholen bei der Problembeschreibung. Sowas macht sich immer gut, weil dann für die Antwortenden sich gleich ein viel umfassenderes Bild und möglicherweise vollkommen ungeahnte Lösungsmöglichkeiten oder Problemlösungsansätze ergeben können.
- Sven Rautenberg
-
-