nicht angemeldet
SSL relative Pfadangabe
Hallo,
ich versuche Euch mein Problem bestmöglich zu schildern.
In unseren Shop gibt es die eine Seite Kasse, welche per SSL geöffnet wird.
Wenn nun der User von der verschlüsselte auf einen Link klickt, wird auch diese Seite bei SSL aufgerufen. Eine Möglichkeit dies zu umgehen, wäre die absolute Pfadangabe. Welche Möglichkeit gibt es noch (außer PHP).
https://www.domain.de/kasse.html
relative /test.html -> https://www.domain.de/test.html
absolut http://www.domain.de/test.html -> http://www.domain.de/test.html
-
ich versuche Euch mein Problem bestmöglich zu schildern.
Das ist dir gänzlich misslungen.
Wenn nun der User von der verschlüsselte auf einen Link klickt, wird auch diese Seite bei SSL aufgerufen. Eine Möglichkeit dies zu umgehen, wäre die absolute Pfadangabe.
Was spricht dagegen?
Wenn ich dich richtig verstanden habe willst du, dass "nur" kasse.html über SSL ausgeliefert wird, der Rest aber nicht.
Eine Möglichkeit ist, sämtliche Requests über HTTPS auf HTTP umzuleiten, wenn der Pfad nicht dem Wunsch entspricht (bzw. umgekehrt).
Die andere ist, serverseitig entsprechende absolute Links zu generieren.
Die dritte ist, gänzlich SSL zu verwenden - warum auch nicht, wenn das Zertifikat ohnehin schon da ist?
-
Das mit dem Umleiten habe ich auch schob probiert. Problem ist, dass dann bei der kasse.html auch alle Bilder umgeleitet werden und es zu einem Browser-SSL-Fehler kommt.
-
Hi,
Das mit dem Umleiten habe ich auch schob probiert. Problem ist, dass dann bei der kasse.html auch alle Bilder umgeleitet werden und es zu einem Browser-SSL-Fehler kommt.
noch mal die wichtige Frage: Was spricht dagegen, den SSL-Zugriff auf *alles* zu erlauben - oder vielleicht sogar zu forcieren?
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:| br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
Ich bin der Meinung, dass das den Server unnötig belastet.
Folgende Rewrite-Regel habe ich probiert - leider funktioniert diese nicht
RewriteCond %{HTTP_HOST} !^bilder.domain.com
RewriteCond %{REQUEST_URI} !^/kasse.html$
RewriteCond %{SERVER_PORT} ^443
RewriteRule ^(.*)$ http://www.domain.com$1 [r=301,L]-
Moin!
Ich bin der Meinung, dass das den Server unnötig belastet.
1% der Gesamtlast geht für SSL drauf, sagt Google.
Außerdem führst du SSL ziemlich ad absurdum, denn wenn der Mischmasch aus SSL und unverschlüsselten Seiten funktionieren soll, musst du alle Cookies (unweigerlich notwendig für einen Warenkorb) unsicher lassen - diese sind dann aber angreifbar. Außerdem ist deine gesamte Site dadurch angreifbar für Man-in-the-middle - indem ein Angreifer den Link zur Kasse so manipuliert, dass dabei ein Dokument auf SEINEM Server aufgerufen wird, der auch SSL macht, kann er die Zahlungsdaten abgreifen.
Mit anderen Worten: Dein gesamtes Konstrukt des Shops ist unsicher, obwohl du SSL drin hast. Und das nur, weil du GLAUBST, dass das den Server belasten würde - aber noch keine Beweise dafür hast.
- Sven Rautenberg
-
Folgende Rewrite-Regel habe ich probiert - leider funktioniert diese nicht
RewriteCond %{SERVER_PORT} ^443
Ist der SSL-Port überhaupt 443? Warum nutzt du nicht Das HTTPS-Feld, welches mod_rewrite zur Verfügung steht?
Oder aber es hängt ein Load-Balancer dazwischen, den SSL nicht interssiert und alle Requests an die eigentlichen Server wieder auf Port 80 durchreicht - hier gibts dann meistens einene entsprechendes Feld, welches sich verwenden lässt- HTTP:X-Forwarded-Proto z.B.
-
-
-
-