Mit HTTPS statt HTTP

Ich habe eine website, die Benutzer auf loggin zu. Ich will für die Verwendung von HTTPS, also eine sichere, verschlüsselte Verbindung auf dem server überprüfen Sie den Benutzernamen und das Kennwort.

Derzeit auf meinen server habe ich einen Ordner namens httpdocs, das ist, wo meine website ist Shop, ich habe auch einen Ordner namens httpsdocs.

Nun, wie ich sagte, meine website gespeichert ist, in httpdocs so logisch ich gehen würde, um http://website.com

Aber ich fand, dass, wenn ich gehen, um https://website.com bekomme ich eine sichere Verbindung auf die Seiten gespeichert in httpdocs.

Sowieso, meine Frage ist, wenn ich gehe zu einem anderen link, den ich Locker den secure connect (URL geht zurück auf http://) Also wie kann ich alles sichern? Würde ich die vollständige URL in das href-denn das scheint ein bisschen lahm, anstatt einfach href=page2.php .

Ich bin neu in diesem Bereich der website-Entwicklung, aber ich bin erfahren in der Entwicklung wenn dir das hilft.

Tausend Dank für die Hilfe.

Einige basic-tutorials oder Lesen material wäre genial, wenn jemand weiß, der nichts gutes?

Nochmals vielen Dank.

  • Sie sind möglicherweise die Verwendung von absoluten urls oder über eine variable in Ihre website (was auch immer seine Sprache geschrieben), dass hält die "Basis-url" für Ihre website. Sie benötigen, um post code/html oder eventuell einen link auf Ihre website für eine bessere Antwort.
  • Ich habe keine absoluten URLs, die ich klar bleiben, dass. Das ist mein problem, wenn ich absolute zum Beispiel mysite.com/page3.php, es wird sicher sein, aber ich weiß nicht, wie es zu tun mit einem relativen link. Gibt es etwas, was server-Seite, die ich ändern könnte, wie ein Wert oder sowas? Ich bin mit CentOS auf meinem server
  • Nein, mit href="page3.php" werden, mit welchem Protokoll Sie sind, ist es vielleicht eine .htaccess Problem?
  • Okay, ich habe es geschafft, es zu bleiben in dem Protokoll..... Jemand dachte, Sie sollten Verwendung einer absoluten URL (ich hasse die übernahme der anderen Völker zu arbeiten) immer Noch nicht wissen, wie man die Website, so dass es öffnet sich der https, wenn Sie nur geben Sie in der domain. Vielen Dank für die Hilfe.
  • siehe meine Antwort auf Ihre Frage.
  • Mithilfe von Umleitungen, um dieses problem zu beheben, ist nicht sicher - siehe mein Kommentar auf die Antwort von @Prisoner - Sie haben, zu beseitigen die HTTP-links in den ersten Platz. Können Sie erklären, was die links sehen aus wie im HTML-Code, geliefert bekommt der browser? Verwenden Sie einige content-management-system, die umschreiben könnten, Ihre URLs hinter den kulissen? Ich würde empfehlen die Verwendung des full https:// - links, wenn das der einzige Weg, um Ihr problem zu lösen statt mit der redirect-hack, für die Sicherheit und auch performance -) Gründen.

InformationsquelleAutor ragebunny | 2011-12-12
  1. 2

    Beantworten Ihre Frage in den Kommentaren sollten Sie verwenden mod_rewrite (vorausgesetzt Ihr aktiviert):

    RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [R,L]

    schicken wird jede Webseite auf https.

    • Dies ist nicht eine sichere Lösung denn wenn jeder link zugegriffen wird, mit unsicheren HTTP die wird dann weitergeleitet auf eine sichere HTTPS dann zwischen jedem Klick und umleiten Sie sind anfällig gegen so ziemlich die gleichen Attacken, als hätten Sie alle Ihre Kommunikation erfolgt in HTTP. Speziell gibt es eine Möglichkeit, einen man-in-the-middle-Angriff schicken könnte, etwas anderes als eine Umleitung, oder eine session-hijacking oder evesdropping auf sensible Daten, die gesendet wird, mit cookies, query-Parameter oder post-Daten. Wäre die richtige Lösung zu beseitigen, die den HTTP-Verkehr in den ersten Platz.
    • Ich bin mir nicht sicher, wie das zu tun? @rsp
    InformationsquelleAutor Prisoner
  2. 2

    Nicht verwenden http://foo.com/path in urls verwenden //foo.com/path statt (oder, noch besser, wenn Sie bleiben auf dem gleichen server verwenden /path - sicherlich auch funktioniert). Vollständige urls bringt Redundanz und Sprödigkeit. Vermeiden Sie es.

    InformationsquelleAutor
  3. 0

    Check-out HTTP Strict Transport Security (HSTS):
    https://www.owasp.org/index.php/HTTP_Strict_Transport_Security

    Im Grunde, Sie können erzwingen, dass der browser ( es sei denn, es ist IE<12 ), immer verwenden Sie HTTPS, wenn Sie diese header auf der sicheren Seite-Konfiguration:

    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

    Diese können auch kombiniert werden mit einem 301 (PERMANENT) Umleitung für die non-secure/HTTP-site-Konfiguration, auch beschrieben auf der oben genannten Website.

    Zusätzlich/Alternativ können Sie die base href auf Ihre "website.com" von Seiten durch das hinzufügen von etwas wie diesem in Richtung der Oberseite des <head> tag:

    <base href="https://website.com/">

    Diesem wird festgelegt, dass alle relativen urls auf der Seite (inklusive der links, stylesheets, Skripte, Bilder, etc.) für die Verwendung des HTTPS-site-root als Basis. Je nach Struktur und Größe Ihrer Website, jedoch, werden Sie wollen, um zu überprüfen, für jede Seite, die seine base href und/oder die urls in der Seite enthalten alle notwendigen Informationen zum Pfad (d.h. Unterverzeichnisse). Ansonsten ein link auf http://website.com/some/directory/page.html, die Punkte zu "otherpage.html" direkt zu http://website.com/otherpage.html statt http://website.com/some/directory/otherpage.html . In solchen Fällen würden Sie wollen, entweder ein base-href-von "http://website.com/some/directory/" oder die relative url in den link verweisen, um entweder "/some/directory/page.html" oder "some/directory/page.html" (kein slash in diesem Fall benötigt).

    InformationsquelleAutor Noyo
Schreibe einen Kommentar