[php] PHPLib + SSL

[Johann-Peter Hartmann]

Hallo Marcel,

Marcel Kurz schrieb:
> in nächster Zeit werden wir eine unserer Seiten die mit
> PHPLIP (session+authentication) läuft mit SSL ausstatten.
> Jetzt hab ich da mal eine kleine Verständnissfrage..
> Die Seite ist so aufgebaut das jeder als Nobody eingeloggt wird.
> aber mache Teile(bzw Infos) der Seite sind nur für Mitglieder bestimmt.
> diese können sich auch jeder Seite einloggen (Loginbutton der
> das loginform.ihtml aufruft) .
> Wie kann ich das nun anstellen das die Loginform.ihtml
> (eingabe von Benutzername und PW) nur über die SSL Verbindung läuft...
> Die ganze Seite über SSL laufen zu lassen ist meiner Meinung nach
> nicht so sinnvoll oder was meint Ihr ???

	Nein, es ist sicherlich sinnvoll, nicht authentifizierte
	Nutzer nicht ueber https zu schicken .

	Bei der PHPLib hätte ich in der eigenen Vererbung
	der Auth-Klasse die Methoden auth_loginform()
	und auth_validatelogin() um eine Überprüfung des
	Protocols (die Environmentvariable HTTPS ist "on" )
	erweitert, das bei negativen Resultat auf die HTTPS-
	Seite redirected .

	Natürlich sollten die Links zu den Login-Seiten
	auch gleich auf die HTTPS-Variante lenken ;-) .

	Grüße, johann

	ps: es bleibt zu ueberlegen, ob man die restliche
	Session des authentifizierten Nutzers auch auf
	HTTPS setzen möchte. Während das Ausspähen des Passwortes
	durch die Passworteingabe über https verhindert wurde,
	kann die Session auf den folgenden HTTP-Seiten
	durch einen man-in-the-middle bequem gehijackt werden .
	Um das zu umgehen, muss man auf jeder Folgeseite
	das Protocol überprüfen, oder die Seiten nur
	auf dem HTTPS-Server anbieten .