nicht angemeldet
SSL für Loggin, sinnvoll? Was mein Ihr...
Hi,
bin gerade am überlegen, ob ich für unsere Webanwendung einen SSL-Loggin machen soll.
Dazu kommen mir erstmal ein paar Grundlagenfragen in den Sin:
- Ist den dieser SSl-Loggin Sinnvoll?
- Sollte ich auch mit Zertifikaten arbeiten?
- Vorteile / Nachteile beim SSL
Wir arbeien mit Apache 2.0.48 und mit dem neueres PHP usw.
Wo könnte ich mich über SSL den mehr informieren? Habe mal im Netz rumgeschaut, aber nicht wircklich ne ordentliche Doku darüber gefunden, was meine ersten Fragen beantworten!..
Vielleich könnt Ihr mir ein paar Sätze dazu schreiben, was Ihr davon hält.
Danke und schöne Ostern noch ! :-)
Gruß
Michimu
-
Hi,
Wo könnte ich mich über SSL den mehr informieren? Habe mal im Netz rumgeschaut, aber nicht wircklich ne ordentliche Doku darüber gefunden, was meine ersten Fragen beantworten!..
Bei Netscape.
In Kürze: Mit HTTPS anstelle HTTP werden die Daten verschlüsselt übertragen. Also auch die Credentials bei einem Login.
Gruss, Rolf
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
Hi again,
Hätt ich ja vorhin auch gleich dazuschreiben können:
Natürlich ist es sinnvoll, bei einem Login SSL zu verwenden, also immer dann, wenn ein Benutzer
seine Kennung und sein Passwort irgendwo eingibt.
In dem Bereich, wo ich derzeit tätig bin, gibt es kaum noch Login's wo unverschlüsselt übertragen werden. SSL - Secure Socket Layer ist auch nicht an ein spezielles Protocol gebunden.
Und so gibts folgende Empfehlungen:
HTTP -> HTTPS
TELNET -> SSH, SCP
LDAP -> LDAPS
usw.Gruss, Rolf
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
HallO!
TELNET -> SSH, SCP
Hat SSH was mit SSL zu tun? Ich habe mal gehört dass es wirklich was damit zu tun hat(dass ssh irgendwie auch gegen eine openssl-lib gelinkt wird... ), aber was genau weiß ich nicht ;-)
Und was sicherheitstechnisch in diesem Zusammenhang noch sehr wichtig ist:
FTP -> SFTP, SCP!
(Ich finde den SCP/SFTP-CLient WinSCP sogar besser als jeden FTP-Client der mir bisher untergekommen ist! http://winscp.sourceforge.net/eng/)Bei FTP werden die Zugangsdaten nämlich auch im Klartext übertragen!
Grüße
Andreas-
hi Andreas,
TELNET -> SSH, SCP
Hat SSH was mit SSL zu tun? Ich habe mal gehört dass es wirklich was damit zu tun hat(dass ssh irgendwie auch gegen eine openssl-lib gelinkt wird... ), aber was genau weiß ich nicht ;-)Da hab ich mal eine schööne Seite dazu gefunden:
http://www2.informatik.uni-wuerzburg.de/staff/holger/lehre/OSSS00/ssh.htmlUnd was sicherheitstechnisch in diesem Zusammenhang noch sehr wichtig ist:
FTP -> SFTP, SCP!
(Ich finde den SCP/SFTP-CLient WinSCP sogar besser als jeden FTP-Client der mir bisher untergekommen ist! http://winscp.sourceforge.net/eng/)Bei FTP werden die Zugangsdaten nämlich auch im Klartext übertragen!
Yes, it is. Btw., WinSCP ist schon ein Klasse Programm, genauso wie WinCMD... und überhaupt die ganze Putty-Collection !
Da gibts auch einen Putty Authentication Agent: nur noch einmal am Tag das Passwort eingeben, und hopp, bin ich auf jeder Büchse, wo ich meinen public-key drauflegen durfte *g
Gruss, Rolf
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?
-
-
-
-
hallo,
- Ist den dieser SSl-Loggin Sinnvoll?
ja
Wo könnte ich mich über SSL den mehr informieren? Habe mal im Netz rumgeschaut, aber nicht wircklich ne ordentliche Doku darüber gefunden, was meine ersten Fragen beantworten!..
http://apache.org/ und dann mod_ssl suchen.
anleitungen zu apache2 und ssl gibts zu hauf unter http://www.google.deDanke und schöne Ostern noch ! :-)
gleichfalls
gruss
--
no strict;
no warnings;
Selbstcode: (_*_) ^_^ ( . ) ( . ) :-(bla) -
- Ist den dieser SSl-Loggin Sinnvoll?
Das mußt Du entscheiden, denn die Abwägung zwischen Vor- und Nachteilen hängt davon ab, wie sicherheitskritisch Deine Anwendung ist. Für irgendein Kiddie-Brabbelboard (nur als Beispiel) macht das überhaupt keinen Sinn, für die Übermittlung von sensiblen Kundendaten wie beispielsweise der Bankverbindung sieht es hingegen zumindest immer gut aus.
- Vorteile / Nachteile beim SSL
Der letztlich einzig gravierende Nachteil einer https-Verbindung ist, daß der Webserver dafür (für den Host) eine eigene IP benötigt, denn das bekannte namensbasierte Virtual Host-Konzept (viele Namen/Domains, eine IP) funktioniert auf einer verschlüsselten Verbindung nicht mehr in einer akzeptablen Weise.
Die dadurch entstehenden zusätzlichen Kosten halten sich aber in Grenzen; informiere Dich bei Deinem Hoster.Wir arbeien mit Apache 2.0.48 und mit dem neueres PHP usw.
Dann solltest Du als erstes die Anleitung durchlesen: http://www.modssl.org/docs/2.8/.
-
Hallo!
Wir arbeien mit Apache 2.0.48 und mit dem neueres PHP usw.
Dann solltest Du als erstes die Anleitung durchlesen: http://www.modssl.org/docs/2.8/.
Seit Apache 2 ist eine Weiterentwicklung dieses Moduls in der Standard-Distribution des Apachen enthalten.
Daher findet man auch unter apache.org viele nützliche Informationen zum Thema.
http://httpd.apache.org/docs-2.0/ssl/
http://httpd.apache.org/docs-2.0/mod/mod_ssl.html
http://www.openssl.org/docs/Grüße
Andreas -
Hallo,
- Vorteile / Nachteile beim SSL
Der letztlich einzig gravierende Nachteil einer https-Verbindung ist, daß der Webserver dafür (für den Host) eine eigene IP benötigt, denn das bekannte namensbasierte Virtual Host-Konzept (viele Namen/Domains, eine IP) funktioniert auf einer verschlüsselten Verbindung nicht mehr in einer akzeptablen Weise.
Ergänzend sollte man noch vielleicht dazu sagen, daß eine verschlüsselte Verbindung auch immer mehr Rechenzeit benötigt.
Gruß
MichaelB - Vorteile / Nachteile beim SSL