[HowTo]: Forenbereiche mit HTTPS absichern - ein Anfang

[SchwarzeGenetik]

danke für die pm!

den usern die wahl lassen hab ich mir auch schon überlegt, nur wenn jemand z.b. ein profil von einem user unverschlüsselt anschaut sind dessen daten auch nicht mehr sicher...

Gruß SG

[PaintSplasher]

Huhu, ist das HowTo auf die vBulletin 4.x.x ohne Probleme anwendbar mit dem Einsatz von vBSEO?

[Xandrian]

Hi,

größtenteils. Ich bekomme stellenweise noch ein paar Fehlermeldungen. Aber ich hatte noch keine Zeit mich darum zu kümmern da ich erst vorgestern umgestiegen bin...

cu tb

[PaintSplasher]

Hm okay, ich kann derzeit leider auch nicht testen da das Zertifikat noch ausgestellt wird. Aber das Prinzip dürfte ja das gleiche sein nehm ich an.

[michael24179]

Ich bin im moment dabei, meine Seite mit SSL auszustatten. Ich habe hierbei das Problem, das Grafik zu HTTPS gelinkt werden, Hintergrund Grafiken jedoch nicht.
In den Stylevariablen unter Hintergrundbild (z.B. url(bild.png)) habe Ich es mit url(/images/misc/cat.png) und ohne / versucht. Es kommt am ende immer das selbe raus. Alle Hintergründe gehen nach HTTP .

[michael24179]

Das Bilder Problem konnte Ich jetzt regeln. Jetzt habe Ich jedoch noch HTTP Verbindungen an Clientscripte.Das seltsame ist, das diese doppelt geladen werden, einmal mit HTTPS und dann noch einmal ohne HTTPS. Ich habe bereits alle Plugins deaktiviert .

Unbenannt.PNG

[Xandrian]

Hi,

ich habe es irgendwann aufgegeben. Bin immer wieder über Probleme gestolpert. Ich hoffe noch immer, dass vBulletin endlich das mal einbaut und somit eine saubere Implementierung anbietet...

Ich habe inzwischen ein sauberes Zertifikat für meine Domain (Wildcard) und somit kann jeder User komplett mit und ohne https arbeiten.

cu tb.

[Jann Hendrik]

Der erste Beitrag in diesem thread (von dir) ist von 2006. Und du glaubst echt noch, dass das man direkt als Option in vBulletin eingebaut wird?
Spätestens seit dem Mist mit fazebuch dürfte ein sicherer Aufruf einer HTTPS-Seite wohl nicht mehr möglich sein, wenn man den logischen Anspruch hat, dass bei HTTPS auch ALLES verschlüsselt ausgeliefert wird.

Ich habe da jedenfalls keine Hoffnung, wobei es ein wirklich gutes feature wäre!

[michael24179]

Die Registrierung ist jetzt Fehlerfrei verschlüsselt. Usercp ist jetzt ebenso Fehlerfrei. Die Privat Nachrichten müssen noch etwas Überarbeitet werden und dann ist es perfekt. Woran Ich jetzt jedoch arbeite ist die Einbindung von Werbecodes.

[Xandrian]

Naja die Hoffnung stribt zuletzt ;-)

Mein Forum ist ja per https erreichbar. Somit habe ich auch von Facebook etc. kein Problem. Ein Besucher kann komplett per https arbeiten. Das funktioniert auch. Was nicht sauber funktioniert ist das fallweise umschalten bei Seiten, welche verschlüsselt werden sollten...

cu tb

[michael24179]

Eine komplette absicherung halte Ich für mein Fall für nicht gut. Die Serverlast würde dabei zu sehr ansteigen. Funktioniert deine Werbelösung auch nach 6 Jahren noch

[michael24179]

Ich möchte euch mal mein Ergebnis darstellen, wie Ich die Umsetzung gelöst habe

Als Web Server verwende Ich Lighttpd

ssl.conf

Code:

#### SSL engine
$SERVER["socket"] == ":443" {
                  ssl.engine                  = "enable"
                  ssl.pemfile                 = "/etc/ssl/web/web.pem"
                  ssl.ca-file                  = "/etc/ssl/web/SSL123_CA_Bundle.pem"

                  ssl.cipher-list = "*****-RSA-****-******:AES2***-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"
                  ssl.honor-cipher-order = "enable"
     
                  server.name             = "domain.com"
                  server.document-root    = "/var/www/web"

                  $HTTP["url"] !~ "^/(payments\.php|usercp\.php|profile\.php|moderation\.php|member\.php|subscription\.php|register\.php|images|customavatars|customgroupicons|customprofilepics|redbar|signaturepics|clientscript)" {
                    url.redirect = ( "^/(.*)" => "http://www.domain.com/$1" )
                  }
}

domaine.com.conf

Code:

$SERVER["socket"] == ":80" {
    $HTTP["host"] =~ "^www\.domain\.com$" {
            server.name                = "domain.com"
            server.document-root    = "/var/www/web"
            accesslog.filename        = "/var/log/lighttpd/access_deb.log"
            server.error-handler-404 = "/404.php" 
    }
    $HTTP["url"] =~ "^/(payments\.php|usercp\.php|profile\.php|moderation\.php|member\.php|subscription\.php|register\.php|images|customavatars|customgroupicons|customprofilepics|redbar|signaturepics|clientscript)" {
                  url.redirect = ( "^/(.*)" => "https://www.domain.com/$1" )
    }
}

Das Problem mit der unverschlüsselten Werbung oder auch Analyse Codes habe Ich wie folgt gelöst

Code:

<vb:if condition="THIS_SCRIPT != 'register'">
<vb:if condition="THIS_SCRIPT != 'usercp'">
<vb:if condition="THIS_SCRIPT != 'profile'">
<vb:if condition="THIS_SCRIPT != 'payments'">
>>>>Werbecode<<<<
</vb:if>
</vb:if>
</vb:if>
</vb:if>

Wer unter HTTPS die ausgeblendete Werbung ersetzen möchte, kann die Werbung hier eintragen

Code:

<vb:if condition="THIS_SCRIPT == 'register'">
<vb:if condition="THIS_SCRIPT == 'usercp'">
<vb:if condition="THIS_SCRIPT == 'profile'">
<vb:if condition="THIS_SCRIPT == 'payments'">
>>>>Werbecode<<<<
</vb:if>
</vb:if>
</vb:if>
</vb:if>

Was sich nicht geändert hat, ist der Verschlüsselte Login. Da der User auf HTTPS eingeloggt wird, ist der Cookie wohl ungültig, sobald der User wieder auf HTTP zurück kehrt. Genau aus den selben grund kann man den admin nicht verschlüsseln. Bei der Privat Nachricht habe Ich auch noch ein Problem mit den Editor. Hier werden die BBcods nicht dargestellt. Das sollte jedoch in kürze funktionieren .