Hi Lude,

Realisiert wird SSL durch ein Public-Key-Verfahren, welches es ermöglicht, dass die zwei Stationen trotz abgehörter Leitung Schlüsseldaten austauschen können, um einen sicheren, verschlüsselten Kanal auf der abgehörten Leitung aufzubauen.

war also gar nicht mal so doof, was ich da geschrieben habe. - Da ich nicht fragen moechte, wie das o.g. "Public-Key-Verfahren" funktioniert (zu vermutetende Antwort: "RTFM"), frage ich nur, ob das von mir vorgeschlagene Verfahren tauglich ist. Ist es das?

Bei einer SSL Verbindung werden auch die Passworte verschlüsselt übertragen, zb. für status 403.

Dasselbe gilt auch wenn eine UserAuth nicht über 403 abgewickelt wird sondern zb. über ein eigenes LoginScript auf dem HTTPS Server (zum aufbau einer Session).

Wenn dahinter (LoginScript) ein LDAP Server liegt, ists empfohlen, dass die Verbindung zwischen dem HTTPS~ und dem LDAPServer ebenfalls encrypted wird, zb. LDAPS.

Erwin