Results 1 to 6 of 6

Verzeichnisschutz und SSL

  1. #1 Reply With Quote
    Ehrengarde Feuerstern's Avatar
    Join Date
    Sep 2007
    Posts
    2,025
    Hallo zusammen,
    ein paar Unterseiten meiner Webseite habe ich per Verzeichnisschutz (.htaccess + .htpasswd) abgesichert. Was mir allerdings aufgefallen ist:
    Selbst wenn ich das Verzeichniss über https Aufrufe meldet mein Browser "Die Verbindung zu dieser Website ist nicht sicher":
    [Bild: htaccess_schutz.jpg]

    Ein SSL Zertifikat ist eingebunden und der Rest der Seite ist auch abgesichert. Nachdem ich mich eingeloggt habe zeigt mir mein Browser auch an das die Verbindung sicher ist. Bedeutet das die Daten werden unverschlüsselt zum Server gesendet, selbst wenn man Verzeichnisschutz zusammen mit https verwendet?
    Feuerstern is offline

  2. #2 Reply With Quote
    Tieftöner Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    15,196
    Da musst du schon ein bisschen konkreter sagen, was du da gemacht hast, was das für Zertifikate sind, wie du die angebunden hast, etc. pp.

    Hast du volle Kontrolle über den Webserver? Oder ist das gemieteter Webspace? Welche Einstellungsmöglichkeiten hast du?
    Lookbehind is offline

  3. #3 Reply With Quote
    Ehrengarde Feuerstern's Avatar
    Join Date
    Sep 2007
    Posts
    2,025
    Es ist gemieteter Webspace und es handelt sich um ein LetsEncrypt Zertifikat. Dieses lässt sich direkt im Backend erstellen und einbinden. Ich habe SSH Zugriff auf den Server aber keine Admin Rechte. Ich kann per php ini einige Einstellungen setzten ansonsten habe ich nicht viele Kontrollmöglichkeiten.
    Feuerstern is offline

  4. #4 Reply With Quote
    Tieftöner Lookbehind's Avatar
    Join Date
    Dec 2007
    Posts
    15,196
    Ok, wenn du deinen vHost nicht komplett verstellt hast, und die .htaccess-Datei nicht irgendwelche komischen Redirects baut, sollte das eigentlich auch mit Zertifikat funktionieren. Stellt sich die Frage, was du in deiner .htaccess-Datei eingestellt hast.

    (Ich tue mich ehrlich gesagt schwer, mir ein Szenario aus zu denken, was zu so einem Verhalten führt. Daher gerade etwas stochern im Nebel und hoffen auf Details.)
    Lookbehind is offline

  5. #5 Reply With Quote

    Batmanistrator
    Thoronador's Avatar
    Join Date
    Jul 2005
    Location
    Morrowind, Vvardenfell-Distrikt
    Posts
    20,598
    Quote Originally Posted by Feuerstern View Post
    Selbst wenn ich das Verzeichniss über https Aufrufe meldet mein Browser "Die Verbindung zu dieser Website ist nicht sicher"
    Das hängt natürlich vom Browser und den konkreten Seiteninhalten ab, aber solche Meldungen können im Browser auch schon erscheinen, wenn die Webseite an sich zwar über HTTPS läuft, aber einzelne Elemente darauf (z. B. Grafiken oder JavaScript-Dateien) weiterhin über HTTP eingebunden sind. Also sowas wie <img src="http://..." /> im HTML-Code der Seite könnte da schon reichen, damit der Browser eine solche Meldung anzeigt.
    Thoronador is offline

  6. #6 Reply With Quote
    Ehrengarde Feuerstern's Avatar
    Join Date
    Sep 2007
    Posts
    2,025
    Ich habe mal ein minimal Beispiel erstellt.
    /home/Feuerstern/www.meine-webseite.de/TestSeite/index.html:
    Code:
    <!DOCTYPE html>
    <html>
        <head>
            <meta charset="utf-8">
            <title>Test Seite</title>
        </head>
        <body>
            <p>Hallo Welt</p>
        </body>
    </html>
    /home/Feuerstern/www.meine-webseite.de/TestSeite/.htaccess:
    Code:
    AuthUserFile /home/Feuerstern/www.meine-webseite.de/TestSeite/.htpasswd
    AuthGroupFile /dev/null
    AuthName "Passwortgeschuetzter Bereich!"
    AuthType Basic
    Require valid-user
    Jetzt rufe ich die Seite folgendermaßen auf:
    'https://www.meine-webseite.de/TestSeite/index.html'
    Dann werde ich nach Nutzername und Password gefragt. Allerdings sieht es wie im Eingangspost aus. ein (i) und dann die Info das die Verbindung nicht sicher sei. Nachdem ich mich angemeldet habe wird die Seite aber als sicher angezeigt.

    In /home/Feuerstern/www.meine-webseite.de/ ist keine .htaccess Datei die da noch zwischen funken könnte
    Feuerstern is offline

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •