Hi,

Wenn ich nun aber schon eine Benutzerverwaltung habe, macht es dann noch Sinn, SSL einzusetzten?

Auf jeden Fall, SSL hat nichts mit Benutzerverwaltung zu tun (vorrausgesetzt, du setzt nicht auch Client Zertifikate ein) Sondern mit Verschlüsselung der Daten, welche übertragen werden. Und ich bin mir Sicher, irgendwas wirst du per get oder post Benutzerdaten empfangen, oder? Und genau die wollen doch potenzielle Cracker abhören. Mit ner Verschlüsselung machst du es ihnen schwerer, diese zu Lesen.

Und was muss ich am Quellcode verändern, abgesehen von den Einstellungen bei Apache?

Nix, außer das die Daten verschlüsselt übertragen werden, ändert sich nichts.

Welche Auswirkungen hat das auf meine Skripte?

Keine die mir jetzt bewusst wäre.

Gruß

Phil

hi,

ich habe eine Webapplikation programmiert, die nur angemeldeten Usern zur Verfügung steht. Dabei finden viele Datenbank abfragen statt. Ich verwende HTML, JavaScript und natürlich PHP. Im Inet habe ich einiges über SSL in Verbindung mit Apache gefunden. Wenn ich nun aber schon eine Benutzerverwaltung habe, macht es dann noch Sinn, SSL einzusetzten?

kommt darauf an, wie wichtig die daten sind.

zunächst einmal muss dir klar sein, dass auch das passwort bei der eingabe über ein formular unverschlüsselt übertragen wird, jemand, der in der mitte der datenübertragung sitzt (provider, über deren netze die daten laufen), könnte es einfach so mitlesen.

das ist bei SSL-gesicherter übertragung anders. dabei machen client und server ganz zu anfang aus, wie sie die daten beim übertragen verschlüsseln wollen, und übertragen dann _alle_ weiteren daten verschlüsselt. das macht das ausspähen des passwortes schon sehr viel schwerer (natürlich immer noch nicht unmöglich).

ein weiterer aspekt sind die daten, die du den eingeloggten usern zugänglich machst. sind die so "geheim", dass sie den schutz benötigen? sie könnten ohne ja ebenso leicht mitgelesen werden, wie das passwort.

Und was muss ich am Quellcode verändern, abgesehen von den Einstellungen bei Apache?

eigentlich so gut wie gar nichts.
http:// durch https:// austauschen, und schon läuft die ganze sache verschlüsselt ab.
ein gültiges zertifikat solltest du natürlich schon vorweisen können, damit deine user nicht mit warnmeldungen genervt/erschreckt werden - kostet natürlich.

Welche Auswirkungen hat das auf meine Skripte?

auf deine scripte so gut wie gar keine (evtl. wäre noch dafür zu sorgen, dass ein aufruf über http:// nicht mehr möglich ist, z.b durch umleitung auf https://).

von der performance her belastet natürlich die ver- und entschlüsselung server und client mehr, also die ungesicherte übertragung.

gruß,
wahsaga