nicht angemeldet
... das stabile Haus ... Fortsetzung von gestern
Hallo und guten Morgen!
Ich habe gerade eine e-mail von meinem Hoster bzgl. SSL und Co bei meinem Webspace. Ganz sicher bin ich mir nicht, ob das alles so stimmt, wie sie es geschrieben habe, würde mich freuen, wenn ihr mir zu den Antworten eure Meinung mitteilen könnt:
Beispielsweise Formulare: Dieses Daten können über SSL abgesichert werden:
Dazu benötigen Sie eigenes SSL Zertifikat, (125 US-Dollar jährlich )
--> Nicht unbedingt, oder? (zumindest der Preis nicht - wo wir aber wahrscheinlich wieder beim Thema von gestern wären mit der Warnmeldung )
Für das Zertifikat ist eine eigene IP Adresse Voraussetzung ( 60 €uro / Jahr)
-->> Stimmt das? Mit der IP-Adresse?
Einzelne Datenbanktabellen lassen sich nicht mit separaten
Zugriffsrechten versehen oder ähnliches. Der Datenbankuser des Accounts
hat vollen Zugriff auf alle Tabellen und Tabelleninhalte der Datenbank.
Sicherheitsvorkehrungen für PHP Datenbanken sind beispielsweise der Einsatz eines Zend Encoder (zend.com),
( 960 US$ jährlich)
-->> Was bringt mir zend.com? So eine mySql-datenbank wie ich Sie offline habe mit priv_tables und so weiter kann ich ja wahrscheinlich nicht irgendwie simulieren, oder?
Danke im Voraus
Sabine
-
Hi Sabine,
Für das Zertifikat ist eine eigene IP Adresse Voraussetzung
( 60 €uro / Jahr)
-->> Stimmt das? Mit der IP-Adresse?Rein technisch gesehen - nein.
Man könnte - wenn man sich die Mühe macht - innerhalb desselben Apache
sowohl einen Virtual Host über SSL als auch einen anderen ohne SSL be-
treiben.(<offtopic>Das ist übrigens sogar die einzige derzeit bekannte Möglich-
keit, HTTPS-Seiten mit mod_gzip komprimieren zu lassen: Man leitet die
HTTPS-Zugriffe intern auf den HTTP-VirtualHost um, läßt sie dort kom-
primiert erzeugen und via mod_proxy zurück an den HTTPS-VirtualHost
liefern, welcher dann zuletzt die SSL-Schale drum herum legt - und ab
damit über die Leitung.</offtopic>)Aber ich kann mir gut vorstellen, daß das einigen Hostern zu viel Arbeit
ist. Die installieren einfach auf Maschine A einen Apache mit SSL und
auf Maschine B einen Apache ohne SSL, und fertig ist die Laube.Viele Grüße
Michael-
Hi Sabine,
Für das Zertifikat ist eine eigene IP Adresse Voraussetzung
( 60 €uro / Jahr)
-->> Stimmt das? Mit der IP-Adresse?Rein technisch gesehen - nein.
Man könnte - wenn man sich die Mühe macht - innerhalb desselben Apache
sowohl einen Virtual Host über SSL als auch einen anderen ohne SSL be-
treiben.Ein wenig aufklärung:
SSL Zertifikate kosten zwischen 300$ (trustcenter) und 830$ (verisign) und bestätigen die identität der pers./firma für ein schlüsselpaar. Ein Zertifikat kann man sich auch selbst ausstellen, nur erscheint jedesmal im Browser eine Warnmeldung ala "nicht vertrauenswürdige seite...." Ein Zertifikat kann nur für einen Host (eine IP) Adresse ausgestellt werden. Es stimmt man könnte dieses Zertifikat auch für mehrere Virtuelle Host verwenden, jedoch ist dies IMHO nonsens da jeder Browser mit einer Fehlermeldung wie: Der Hostname stimmt mit dem Namen im Zertifikat nicht überein, es könnte sein das ein dritter bla bla hack bla bla.... wenn so eine meldung erscheint glaub ich kaum das ein kunde deiner seite vertraut.....
-