http vs. https

hossbachj · 10. Jan 2010

Hallo zusammen,

irgendwie habe ich von Tag zu Tag immer mehr Fragen...

Ich habe im Admin-Management der DS unter Webdienste folgendes:

X HTTPS-Verbindung aktivieren

Wenn Sie diese Funktion aktivieren, werden alle Anwendungen und die UI, die http-Verbindungen nutzen, durch SSL/TLS-Verbindungen geschützt.

X HTTP-Verbindungen automatisch zu HTTPS umleiten

aktiviert.

Trotzdem kann ich im immer noch auf nicht https-Seiten bspw. http://www.irgendwas.de/irgendwas zugreifen, ohne das ich auf https umgeleitet werde. Warum? Was bedeutet UI? UserInterface? Also nur auf die wirklichen Anwendungen der DS?

Kann ich nicht https (also http) den irgendwie unterbinden, so dass nur https genutzt werden darf?

Vielen Dank für Eure Meinungen.

Viele Grüsse
Hossi

Anzeige · 10. Jan 2010

Hallo hossbachj,

Bücher und Hardware zum Thema gibt es bei Amazon: http vs. https

Matthieu · 10. Jan 2010

https schützt in der Tat nur den DSM und dessen Anwendungen.
Du kannst mal probieren Port 80 (http) auf 443 (https) weiterzuleiten (im Router oder wo auch immer du das machst).

MfG Matthieu

hossbachj · 10. Jan 2010

Gute Idee! Ich habe das probiert, das ist die Antwort:

Bad Request
Your browser sent a request that this server could not understand.
Reason: You're speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.

Schade... Noch andere Ideen?

Viele Grüsse
Hossi

Matthieu · 10. Jan 2010

Google mal nach htaccess und https. Was wirklich brauchbares hab ich noch nicht, aber es sollte so definitiv funktionieren.

MfG Matthieu

EDIT: Hab was: http://www.besthostratings.com/articles/force-ssl-htaccess.html

hossbachj · 10. Jan 2010

Hi Matthieu,

soweit war ich auch schon. Meine .htaccess im web-root sieht wie folgt aus:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [L]

damit wird auf jeden Fall schonmal die Startseite aus https umgeleitet, leider liegt im Hintergrund für jeden Unterordner zusätzlich auch noch http vor.

... oder man müsste in jeden Ordner eine solche Umleitung mit in die .htaccess Datei schreiben. Nicht wirklich schön aber besser wie nichts, oder?

Vielleicht hat ja noch jemand einen Tip

Gruß
Hossi

hossbachj · 11. Jan 2010

Hallo nochmal,

mühselig ernährt sich das Eichhörnchen.

Ich versuche immer noch meine Verzeichnisse zu schützen.

Ziel ist es, beim Zugriff auf ein Verzeichnis http://irgendetwas.de/sonstwas,
das automatisch auf https://... und zur Passwortabfrage weitergeleitet wird oder alternativ auf die Hauptseite https://irgendetwas.de.

Mit folgendem in der .htaccess:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI}

gefolgt von:

AuthType Basic
AuthName "irgendwas"
AuthUserFile /volume1/web/passwd/.htusers
require valid-user

komme ich beim Zugriff auf http://irgendetwas.de/sonstwas zur Passwortabfrage AuthType Basic für http://....

Nach Eingabe von Benutzer + Kennwort komme ich direkt zur nächsten Paswortabfrage für https://....

Nach Eingabe von Benutzer + Kennwort komme ich dann endlich auf die Seite https://irgendetwas.de/sonstwas

Wie kann ich in der .htaccess erst die Umleitung machen und dann die Passwortabfrage, so dass ich nur noch die https:// Abfrage habe?

Vielen Dank für Eure Unterstützung.

Viele Grüsse
Hossi

Brian! · 12. Jan 2010

Hallo Hossi,

dieses von dir beschriebene Problem plagt mich auch schon seit einiger Zeit. Leider habe ich noch keine wirklich gute Lösung dafür gefunden, zumindest nicht über eine .htaccess. Wenn du deine Rewrite Anweisungen allerdings irgendwo in die Server Konfiguration packst (z.B. am ende der http.conf-user oder eines VirtualHost blocks) greift Sie vor dem Login.

Solltest du eine elegante Lösung finden würde ich dich bitten, diese hier kund zu tun.

Brian

jahlives · 12. Jan 2010

Ich bin mir nicht ganz sicher, aber ich meinte mal irgendwo gelesen zu haben, dass htpasswd vor SSL kommt. Also wird imho die erste Anmeldung immer mit Plain http und nicht https aufgerufen.

hossbachj · 12. Jan 2010

Hallo zusammen,

ich habe gestern Nacht noch eine Lösung zu unserem Problem gefunden.

Meine .htaccess sieht derzeit wie folgt aus:

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI}

AuthType Basic
AuthName "Privat"
AuthUserFile /volume1/web/passwd/.htusers
require valid-user

SSLRequireSSL
ErrorDocument 403 https://irgendetwas.dyndns.org/privat
require valid-user

Das heisst, die Anfrage geht auf http://, weiter auf das ErrorDokument da nicht SSL, und wird von dort unsichtbar auf die neue https:// Seite weitergeleitet, von dort erfolgt dann die verschlüsselte Benutzerkennungsabfrage.

Das einzig unschöne ist, dass ich nun den Pfad in jeder .htaccess komplett angeben muss.

Was und ob man daran noch optimieren kann (da bspw. 2x require valid-user vorhanden), weiss ich nicht, ich bin erstmal froh das es funktioniert hat. Vielleicht hat ja jemand noch eine Idee?

Viele Grüsse
Hossi

hossbachj · 12. Jan 2010

Das reicht auch aus:

AuthType Basic
AuthName "Privat"
AuthUserFile /volume1/web/passwd/.htusers
require valid-user

SSLRequireSSL
ErrorDocument 403 https://irgendetwas.dyndns.org/privat

und dann noch in die .htaccess im root Verzeichnis:

ErrorDocument 404 https://irgendetwas.dyndns.org/

und jeder wird beim Aufruf einer nicht vorhandenen Seite oder Verzeichnisses auf die Hauptseite geroutet.

Gruß
Hossi

Suche

http vs. https

hossbachj

Benutzer

Anzeige

Matthieu

Benutzer

hossbachj

Benutzer

Matthieu

Benutzer

hossbachj

Benutzer

hossbachj

Benutzer

Brian!

Benutzer

jahlives

Benutzer

hossbachj

Benutzer

hossbachj

Benutzer

Kaffeautomat