[php] PHPLib + SSL

[Johann-Peter Hartmann]

Hallo Marcel,

Marcel Kurz schrieb:
> in n�chster Zeit werden wir eine unserer Seiten die mit
> PHPLIP (session+authentication) l�uft mit SSL ausstatten.
> Jetzt hab ich da mal eine kleine Verst�ndnissfrage..
> Die Seite ist so aufgebaut das jeder als Nobody eingeloggt wird.
> aber mache Teile(bzw Infos) der Seite sind nur f�r Mitglieder bestimmt.
> diese k�nnen sich auch jeder Seite einloggen (Loginbutton der
> das loginform.ihtml aufruft) .
> Wie kann ich das nun anstellen das die Loginform.ihtml
> (eingabe von Benutzername und PW) nur �ber die SSL Verbindung l�uft...
> Die ganze Seite �ber SSL laufen zu lassen ist meiner Meinung nach
> nicht so sinnvoll oder was meint Ihr ???

	Nein, es ist sicherlich sinnvoll, nicht authentifizierte
	Nutzer nicht ueber https zu schicken .

	Bei der PHPLib h�tte ich in der eigenen Vererbung
	der Auth-Klasse die Methoden auth_loginform()
	und auth_validatelogin() um eine �berpr�fung des
	Protocols (die Environmentvariable HTTPS ist "on" )
	erweitert, das bei negativen Resultat auf die HTTPS-
	Seite redirected .

	Nat�rlich sollten die Links zu den Login-Seiten
	auch gleich auf die HTTPS-Variante lenken ;-) .

	Gr��e, johann

	ps: es bleibt zu ueberlegen, ob man die restliche
	Session des authentifizierten Nutzers auch auf
	HTTPS setzen m�chte. W�hrend das Aussp�hen des Passwortes
	durch die Passworteingabe �ber https verhindert wurde,
	kann die Session auf den folgenden HTTP-Seiten
	durch einen man-in-the-middle bequem gehijackt werden .
	Um das zu umgehen, muss man auf jeder Folgeseite
	das Protocol �berpr�fen, oder die Seiten nur
	auf dem HTTPS-Server anbieten .