Webanwendung für HTTPs fit machen
0 
molily
Webanwendung für HTTPs fit machen
Hallo,
ich bin gerade dabei, eine datenbankgestützte Web-Anwendung für einen eingeschränkten Benutzerkreis einzurichten (mit vorgeschaltetem Login.
Verwendete Komponenten: ASP "Classic", JavaScript, HTML, CSS.
Sonstiges: Ich möchte die Anwendung für den Einsatz unter HTTPs bereitstellen.
Was muss ich bei der Entwicklung beachten, im Hinblick auf HTTPs?
Gibt es Dinge, die ich programmtechnisch mit den oben genannten Komponenten nicht tun darf?
Ein Punkt ist meines Wissens die Verwendung von absoluten Hyperlinks.
Oder darf ich absolute Hyperlinks verwenden, wenn diese mit "https://" anfangen?
Ich habe außerdem gehört, dass es Probleme mit Inline-Frames gibt, speziell bei der Verwendung in Popups (also Fenstern, die ich mit JavaScript öffne).
Gibt es irgendwo eine Anleitung oder einen Leitfaden, an dem man sich orientieren kann?
Gruß
Thomas
-
Hallo,
Ein Punkt ist meines Wissens die Verwendung von absoluten Hyperlinks.
Oder darf ich absolute Hyperlinks verwenden, wenn diese mit "https://" anfangen?Wie meinst du das?
Wenn du in einem SSl-verschlüsseltem Umfeld eine komplette URI notieren willst, musst du https:// notieren, klar. Genauso wie du bei nicht-verschlüsselter Übertragung http:// benutzen musst. Das ist eigentlich trivial.Ich habe außerdem gehört, dass es Probleme mit Inline-Frames gibt, speziell bei der Verwendung in Popups (also Fenstern, die ich mit JavaScript öffne).
Welche Probleme soll es da geben und was haben Inline-Frames mit Popups zu tun?
Schwierig ist höchstens, wenn du in einem über HTTPS bezogenen Dokument per iframe ein Dokument einbindest, was nicht-verschlüsselt übertragen wird. Da streiken einige Browser oder zeigen einen Warnhinweis ein.Innerhalb einer geschlossenen SSL-Umgebung kannst aber, wenn ich nichts übersehe, alle HTML- und JavaScript-Techniken wie gewohnt verwenden.
Gibt es irgendwo eine Anleitung oder einen Leitfaden, an dem man sich orientieren kann?
Generell scheinst du den Aufwand zu überschätzen, oder ich unterschätze ihn hoffnungslos. In der Regel sollten bei einer gängigen Webanwendung keine Anpassungen nötig sein, sie sollte gleichermaßen über HTTP wie auch über HTTPS funktionieren.
Mathias
-
Hallo Mathias,
Generell scheinst du den Aufwand zu überschätzen, oder ich unterschätze ihn hoffnungslos.
Du unterschätzt den Aufwand nicht - der ist nämlich wirklich nicht sehr hoch. Das schwierigste ist es, dem Webserver HTTPS beizubringen - sobald das mal geht, ist der Rest eigentlich kein Problem.
In der Regel sollten bei einer gängigen Webanwendung keine Anpassungen nötig sein, sie sollte gleichermaßen über HTTP wie auch über HTTPS funktionieren.
Nur zwei Dinge _könnten_ Probleme bereiten:
a) Bei URIs wird halt https statt http verwendet - gerade viele
OSS-Webanwendungen, die ich kenne, berücksichtigen das nicht und gehen
ausschließlich von http aus (gerade, wenn URIs erzeugt werden)
b) Bei Cookies muss man das »secure«-Flag auf 1 setzen, damit die richtig
verarbeitet werden.Viele Grüße,
Christian--
"I have always wished for my computer to be as easy to use as my telephone; my wish has come true because I can no longer figure out how to use my telephone." - Bjarne Stroustrup
-