[modloginssl] Mitgliederlogin immer über SSL

Druckbare Version

20.03.2011, 02:18
axel.hinrichs

[modloginssl] Mitgliederlogin immer über SSL

Hi,

habe es für ein Projekt gebraucht und nun als Extension im Repository veröffentlicht: Änderung der Formular-URL aller FE Login Module auf https. Sprich selbst wenn das Formular auf einer per http geholten Seite steht, wird das Abschicken des Formulars über https gemacht.

Link: http://www.contao.org/erweiterungsli...ginssl.de.html

Mit der aktuellen, minimal invasiven Variante funktioniert es erst ab 2.9.1. Gibt es Interesse, das auch auf älteren Versionen zum Laufen zu bringen?

Überhaupt: Feedback willkommen.

Gruß
Axel
21.03.2011, 13:48
Tim G

Super,
danke für die Erweiterung.
Daran bin ich mal verzweifelt!

Daumen hoch!

Sent from my iPhone using Tapatalk
30.03.2011, 10:12
starlight

Sicherheitszertifikat fehlt

Hallo Axel

Bei mir wird die Seite nach der Installation der Extension nach dem Login nicht mehr automatisch geladen. Sowohl Firefox als auch IE geben eine Warnung heraus, dass ein Problem mit dem Sicherheitszertifikat besteht bzw. die Seite aus Sicherheitsgründen nicht geladen werden sollte. Muss ich da zusätzlich etwas installieren oder eine Einstellung ändern?

Gruß Günter
30.03.2011, 16:43
axel.hinrichs

Hallo Günther,

nun ja, SSL muss vorher schon funktionieren. Was passiert denn bei Dir, wenn Du Deine Seite selbst mit https://... aufrufst? Ich nehme an, Du bekommst da auch die Warnungen. Wie Du die wegkriegst ist ein anderes Thema. Bei Dir wird wohl noch als reiner Proof of Concept ein selbsterzeugtes Zertifikat auf dem Server liegen, wie das bei der Grundinstallation meist automatisch passiert. Damit kann man, wenn man die Warnung wegklickt, die Verschlüsselung schon mal vorab testen. Für eine SSL-Verbindung ohne Warnung muss man sich aber schon ein Zertifikat einer anerkannten Stelle besorgen. (Ein Tipp hierfür: http://www.heise.de/security/artikel...au-880221.html)

Also: Die Erweiterung sorgt nicht dafür, dass die Verschlüsselung funktioniert, sondern dafür, dass eine funktionierende Verschlüsselung beim Übertragen der Passwörter auch benutzt wird.

Gruß
Axel
25.10.2011, 14:54
iku

Hi,
Ich habe die genannte Erweiterung installiert. Ich habe mir zusätzlich ein SSL Zertifikat erstellen lassen (bei einem namhaften Anbieter gratis ;) ). Das Zertifikat konnte ich via Plesk Backendtool Server erstellen. Wenn ich nun einloggen möchte bekomme ich eine 404 Error Seite, vermutlich weil ich keine Seiten im httpsdocs liegen habe?? Ich bin noch nicht so gewandt die Seiten auf via https anzeigen zu lassen. Habe nur bruchstückhafte Infos gefunden im Forum aber keine Art Anleitung.

Hat hier jemand Tipps, dann kann man sich ein weiteren thread sparen....

Gruss
25.10.2011, 16:23
axel.hinrichs

Hallo iku,

wie Du richtig vermutest, hat das nichts mit Contao oder der Erweiterung, sondern mit Deiner Webserversoftware (gehe mal davon aus Apache) zu tun.

Die Erweiterung macht nur Sinn, wenn die Seiten komplett und fertig schon über https erreichbar sind, weil sie gerade den Wechsel von http -> https erzwingt.

In Deinem Fall ist im Apache der sog. "Virtual Host" für HTTP und der für HTTPS unterschiedlich konfiguriert. Jetzt musst Du 1. die Konfiguration für den HTTPS-Vhost finden und 2. dort die entscheidenden Einstellungen vom HTTP-Vhost übernehmen (DocumentRoot und alles zu PHP/CGI/FastCGI/Handlern).

Aber diese Frage (wie konfiguriere ich den HTTPS so, dass er das gleiche anzeigt wie der HTTP), würde ich in Deinem Fall besser in einem Plesk-Forum (habe ich halt noch nie benutzt) stellen.

Gruß
Axel
25.10.2011, 16:36
iku

Hallo,
Ich komme schon zurecht mit dem Server aber ich frage mich welche Contao Teile in den /httpsdocs ordner müssen oder wie es funktioniert mit Layout/Template anlegen und/oder Seiten anlegen für verschlüsselten Zugang? Wo muss was vom Contao System sein?

Gruss
25.10.2011, 17:20
axel.hinrichs

Hi Iku,

andersrum wird ein Schuh draus: Das DocumentRoot muss auf das Contao umgebogen werden werden, nicht Dateien von Contao ins httpsdocs. Es macht die Sache (also für Contao) unnötig kompliziert, wenn Du ein eigenes httpsdocs hast.

Und im Grunde gilt das auch komplett ohne Contao für alle Seiten, die unter http und https den gleiche Inhalt anzeigen möchten.

Es gibt bestimmt auch Möglichkeiten mit Links etc. das in zwei getrennten DocumentRoots zu betreiben, aber da bin ich raus, weil ich da keinen Vorteil sehe. Ich würde Contao lassen wie es ist und die Apachekonfig anpassen. Prinzip KISS.

Gruß
Axel
25.10.2011, 18:07
iku

Hi,
Also im Prinzip dem https Ordner auf meinem Hostplatz mitteilen das die Dateien im http Ordner sind? Oder Muss das der Webserver wissen? Ich stehe gerade auf dem Schlauch?

Gruss
25.10.2011, 18:37
axel.hinrichs

Genau. Dem Webserver mitteilen, dass er gar nicht im httpsdocs guckt, sondern auch bei https-Anfragen dengleichen Ordner (und eben auch alle CGI-relevanten Einstellungen identisch) benutzt wie bei http. Und das wird entweder direkt im Apache oder bei Dir im Plesk gemacht. Und da kann ich leider eben nicht helfen, weil ich das nicht kenne (und auch jede Version ja wieder leicht anders ist...)
16.02.2012, 13:29
sira-elec

modloginssl auf anderen Ports?

Das Modul ist eine feine Sache; Es wäre noch interessanter, wenn es auch auf nicht SSL-Standard-Ports (z.B. 8080 usw.)
fuktionieren würde.
Möglicherweise kann es ja entsprechend erweitert werden.
24.02.2012, 13:43
axel.hinrichs

Interessante Idee

Zitat:

Zitat von sira-elec

Das Modul ist eine feine Sache; Es wäre noch interessanter, wenn es auch auf nicht SSL-Standard-Ports (z.B. 8080 usw.)
fuktionieren würde.

Ich will schon länger mal eine erweiterte Version stricken (z.B. mit Auswahl, aktiv doch noch Login-Module ohne SSL anzulegen), allein es fehlt die Zeit.

Sollte ich dazu kommen, ist Dein Vorschlag sicher auch mit dabei.

Als einfacher Workaround für Dich wäre, in der Datei ModuleLoginSsl.php folgende Zeile:

PHP-Code:

$strIndexFreeSslRequest = 'https://' . (!empty($xhost) ? $xhost . '/' : '') . $this->Environment->httpHost . TL_PATH . '/' . $strIndexFreeRequest;

in

PHP-Code:

$strIndexFreeSslRequest = 'https://' . (!empty($xhost) ? $xhost . '/' : '') . $this->Environment->httpHost . ":8080" . TL_PATH . '/' . $strIndexFreeRequest;

zu ändern.

Gruß
Axel
21.01.2016, 06:54
TheDrummer

Hallo!

funktioniert diese nützliche Erweiterung auch für Contao 3.5.6?
21.01.2016, 09:22
axel.hinrichs

Zitat:

Zitat von TheDrummer

Hallo!

funktioniert diese nützliche Erweiterung auch für Contao 3.5.6?

Ich habe selbst leider keine aktuellen Contao-Versionen zum weiter entwickeln. Aber ein kurzer Blick in den Quellcode 2.11 (hier war es entwickelt) und 3.2 (spätestens) aufwärts lässt mich vermuten, dass es ohne Anpassungen nicht geht.

Ich gucke das Wochenende mal genauer rein.
21.01.2016, 11:09
TheDrummer

Verständnisfrage... wenn die gesamte Website immer auf https umgeleitet wird, brauch ich die Extension nicht, oder?
21.01.2016, 11:25
axel.hinrichs

Zitat:

Zitat von TheDrummer

Verständnisfrage... wenn die gesamte Website immer auf https umgeleitet wird, brauch ich die Extension nicht, oder?

Richtig. Es ist nur für den Fall gedacht, dass man das Login-Formular auch auf einer Seite einbinden möchte, die per http aufgerufen wird, das Login selbst dann aber per https machen will.

Auf einer Seite die per https aufgerufen wird, ist das Modul eh ohne Effekt (es ersetzt https durch https).