Websiteformulare schützen vor der Beobachtung!

**OneChance** · 04.10.2013, 09:36

Hallo liebe Community,
ich stehe vor einem Projekt wo zum ersten Mal ich die Frage gestellt bekommen habe ob es eine Möglichkeit gibt die Formulare so zu sichern das fremde bei den eingaben nicht mitschauen können.
Jetzt habe ich auf dem Server wo das Projekt startet auch einen https Bereich.
Nur Frage ich mich jetzt gerade wie ich das am besten Umsätze?
Soll ich die ganze Seite auf dem geschützen Bereich starten, den Sie ist nicht sehr gross. Hat einige Statische Seiten und ein paar Formulare für die Bewerbung oder Anmeldung von Kursen.

Würde mich um eine kleine Starthilfe freuen und bedanke mich gleich für eure Beiträge.

Mit freundlichen Grüßen,

Patrick

**Sioweb** · 04.10.2013, 10:21

Ho!

per https ist schon mal gut, du kannst eine einzelne Seite auch alleine durch eine .htaccess schützen, es muss nicht die ganze Seite sein. Der Nachteil ist halt das alle die das Formular ausfüllen wollen das Passwort kennen müssen. Die meisten werden sich das Passwort dann eh speichern, was die Sache auch wieder angreifbar macht. Außerdem dürfen im und um das Formular keine Parameter/Daten sein, die durch die $_SERVER-Variablen erzeugt werden, diese könnten Javascripte enthalten welche die Daten auslesen und versenden könnten – Cross Site Scripting XSS ist hier das Stichwort.

Ansonsten darf halt kein Schadcode im CMS sein, das heißt sicheres FTP-Passwort möglichst wenig FTP-User etc. und keine anderen Anwendungen wie Shops über die man auf das System zugreifen könnte wenn Schadcode eingefügt wird.

***lucina*** · 04.10.2013, 10:22

Auch wenn es nur 'ein paar' Seiten sind - mach es komplett via https. Der Aufwand, für Unterseiten zu differenzieren, ist meistens größer als alles global via Zertifikat abzusichern.

**OneChance** · 04.10.2013, 11:16

Danke euch beiden werde das ganze Projekt jetzt auf https aufbauen. Ist wahrscheinlich die einfachste Variante.

Mit freundlichen Grüßen,

Patrick

**OneChance** · 04.10.2013, 11:49

So jetzt habe ich das nächste Problem habe alles jetzt in den https Ordner kopiert.
So bald ich die Seite jetzt aufrufe sind sämtliche grafischen Elemente futsch!
Warum is das und auch wenn ich ins Backend einsteigen will er auf die normale Seite gehen aber dort habe ich ja nichts mehr.

Mache ich was falsch oder versteh ich da grad was nicht?
Hatte wie gesagt vorher noch nie was damit zu tun!

***lucina*** · 04.10.2013, 12:16

Da wäre jetzt die Frage, was Du mit 'ein https-Bereich' meinst.

Normalerweise erzeugt oder erwirbt man ein Serverzertifikat, das glaubhaft macht, dass der Server unter der Domain example.com eben auch der Server example.com ist. Es gibt kostenlose Zertifikate, es gibt kostengünstige und es gibt teure. In der Regel abhängig vom Preis sind die Features, also die Dinge, die von diesem Zertifikat abgedeckt sind. Mal ist es nur die Domain example.com, mal aber auch subdomain.example.com oder vielleicht auch *.example.com. Die Subdomain www ist bei den meisten automatisch mit drin. Webhoster bieten ihren Kunden meist auch (vergünstigte) Zertifikate an.

Wenn Du ein Zertifikat besitzt, dann musst Du das Deinem Server auch bekannt machen - entweder durch Upload (wohin, das sagt Dir Dein Hoster) oder, wenn Du es vom Hoster direkt kaufst, von dem auch installiert. Die Wege dazu sind verschieden und abhängig vom Hoster.

Hast Du Dein Zertifikat installiert, dann ist ein Seitenaufruf in aller Regel via http://example.com und auch per https://example.com möglich - jedenfalls dann, wenn die Einstellungen beim Hoster entsprechend sind und eben nciht unterschiedliche Verzeichnisse damit adressiert werden. Grundsätzlich gilt dabei im Zusammenhang mit Contao: alles auf ein Verzeichnis zeigen lassen. Man kann dann wundervoll per .htaccess regeln, dass jeder Aufruf von http:// ... nach https:// ... weitergeleitet wird. Das solltest Du dann auch tun.

Damit ist dann ein Mitlesen von Logins nicht mehr möglich, weil eine per https durchgeführte Verbindung via Zertifikatssicherheit verschlüsselt und gesichert ist (naja, okay, wenn man so in den zeitungen liest ... aber das ist ja ein anderes Thema).

Wenn Dir CSS etc fehlen, dann kann das daran liegen, dass die eben nicht per https ausgeliefert werden. Ruf mal das Installtool auf, bitte.

Zu anderweitig geschützen Bereichen, z.B. via Mitgliederlogin solltest Du hier im Forum genügend Quellen finden.