nicht angemeldet
Frage zu Server-Belastung durch SSL-Verbindung
0 0 0 0 Danke
0
Frage zu Server-Belastung durch SSL-Verbindung
Hallo,
ich schreibe gerade an meinem ersten Shop
und hätte gerne einen Tipp zur "Gesicherten Verbindung":
Gibt es eine zusätzliche (beachtenswerte)
Server-Belastung durch die SSL-Entschlüsselung?
Ich würde gerne nach dem LOGIN allen Traffic über https laufen lassen,
möchte andererseits den Server aber auch nicht ausbremsen.
Ist sowas ratsam/möglich,
oder sollte man die SSL-Verbindungen auf
LOGIN und den späteren Bestellvorgang beschränken?
Danke, Frankie
-
hi,
Gibt es eine zusätzliche (beachtenswerte)
Server-Belastung durch die SSL-Entschlüsselung?der server muss nicht nur "ent-", sondern auch "ver-" machen.
Ich würde gerne nach dem LOGIN allen Traffic über https laufen lassen,
möchte andererseits den Server aber auch nicht ausbremsen.wenn es schon im vorfeld _begründete_ verdachtsmomente gibt, dass der server das "nicht packen" könnte - dann sollte m.E. ein "besserer" server her, anstatt abspeckungen am geplanten konzept vorzunehmen.
Ist sowas ratsam/möglich,
oder sollte man die SSL-Verbindungen auf
LOGIN und den späteren Bestellvorgang beschränken?kommt drauf an ...
wann soll der kunde sich einloggen müssen/können?
wenn du ihm beispielsweise die möglichkeit geben willst, "ältere" warenkorbinhalte/lesezeichen auf bestimmte artikel/etc. aus vorherigen sessions wieder anzeigen zu lassen, ist ein login wohl schon recht früh erforderlich.wenn du hingegen das "stöbern" beim betreten der seite und füllen eines warenkorbes erst mal nur per session regeln willst, und der login erst im zuge des eigentlichen bestellvorgangs stattfindet - dann wäre es m.E. auch denkbar, mit dem übergang zur gesicherten verbindung zu lange zu warten.
was du auf jeden fall nicht machen solltest: gesicherte und ungesicherte elemente "mischen", beispielsweise bilder auf einer gesicherten seite nur per http:// einbinden o.ä.
dann kommt (je nach browser) immer die warnmeldung, dass "sichere und nicht sichere objekte" auf der seite vorhanden wären, und ob man die nicht sicheren anzeigen lassen möchte oder nicht.
je nach erfahrenheit des benutzers stört ihn dieses ständige meldung, oder verunsichert ihn gar in bezug auf die sicherheit deines shops.gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Hi wahsaga,
Danke, sehr plausibele Erklärung.Noch eine Frage bitte:
Ich erlebe oft LOGIN-Vorgänge, bei denen die Meldung
"Hallo, gesicherte Verbindung, wollen Sie sich Pest und Cholera einfangen"
erst NACH dem Senden von Username und Passwort kommt.Also ... nach meinem laienhaften technischen Verständnis
mach das keinen Sinn, die SSL-Verbindung erst zu starten,
wenn schon sensible Daten gesendet worden sind.Da müsste doch eigentlich die LOGIN-Seite schon verschlüsselt kommen, oder ?
Sind derartig gemachte Seiten einfach nur schlecht
oder funktioniert das trotzdem irgendwie ?Gruss, Frankie
-
hi,
Ich erlebe oft LOGIN-Vorgänge, bei denen die Meldung
"Hallo, gesicherte Verbindung, wollen Sie sich Pest und Cholera einfangen"
erst NACH dem Senden von Username und Passwort kommt.Also ... nach meinem laienhaften technischen Verständnis
mach das keinen Sinn, die SSL-Verbindung erst zu starten,
wenn schon sensible Daten gesendet worden sind.die daten _sind_ noch nicht gesendet worden.
Da müsste doch eigentlich die LOGIN-Seite schon verschlüsselt kommen, oder ?
nein. wenn die action des formulares auf einen mit https:// beginnenden URL zielt, dann wird die verschlüsselte verbindung aufgebaut, _bevor_ der browser die eigentlichen formulardaten verschickt.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
H wahsaga,
DANKE, sehr lehrreichGruss, Frankie
-
Moin!
Also ... nach meinem laienhaften technischen Verständnis
mach das keinen Sinn, die SSL-Verbindung erst zu starten,
wenn schon sensible Daten gesendet worden sind.die daten _sind_ noch nicht gesendet worden.
Das ist aber genau das Problem: Wenn man ein ungesichertes Formular ansteuert und dort vertrauliche Daten eingibt, dann sieht man nirgendwo, an welches Ziel das Formular tatsächlich gesendet wird.
Je nach Einstellung warnt einen der Browser ja eventuell beim Absenden an eine ungesicherte Seite. Ich habe das aber beispielsweise abgestellt, weil ich (z.B. hier im Forum) ziemlich viele Formulare absende und mich die Frage nervt. Deshalb werde ich sensible Daten nur absenden, wenn das Formular schon mit HTTPS zu mir gekommen ist.
Mutmaßlich treten solche Situationen dann auf, wenn eine Site unverschlüsselt erreichbar ist, aber auf jeder Seite die Möglichkeit zum sicheren Login bietet.
- Sven Rautenberg
-
hi,
die daten _sind_ noch nicht gesendet worden.
Das ist aber genau das Problem: Wenn man ein ungesichertes Formular ansteuert und dort vertrauliche Daten eingibt, dann sieht man nirgendwo, an welches Ziel das Formular tatsächlich gesendet wird.
stimmt, guter punkt.
Je nach Einstellung warnt einen der Browser ja eventuell beim Absenden an eine ungesicherte Seite. Ich habe das aber beispielsweise abgestellt, weil ich (z.B. hier im Forum) ziemlich viele Formulare absende und mich die Frage nervt.
jepp, ich ebenfalls.
Mutmaßlich treten solche Situationen dann auf, wenn eine Site unverschlüsselt erreichbar ist, aber auf jeder Seite die Möglichkeit zum sicheren Login bietet.
man bräuchte ja nicht direkt auf jeder seite ein login_formular_ anbieten - sondern stattdessen vielleicht einen link, der dann seinerseits zur SSL-verschlüsselten formularseite führt.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }
-
-
-