SSL erzwingen

Hast du Probleme Admidio einzurichten? Hier kannst du Fragen rund um die Einrichtung stellen.
Antworten
TheDude
Beiträge: 60
Registriert: 24. Nov 2011, 12:11

SSL erzwingen

Beitrag von TheDude »

Hallo Zusammen,

... wie kann ich sicher stellen, daß eine Admidio-Seite wirklich nur mittels https:// aufgerufen werden kann? Reicht die Angabe der Zeile:
In der config.php ist der Root-Pfad $g_root_path mit »http://…« angegeben. Das habe ich zu »https://…« geändert, damit funktioniert es jetzt unter https einwandfrei im korrekten Layout. (Kann sein, daß es dann unverschlüsselt nicht mehr geht, aber angesichts der sensiblen Daten erzwinge ich eh SSL.)
wie es im Thread http://www.admidio.org/forum/viewtopic. ... ssl#p19506 beschrieben wurde?

Vorab schon einmal vielen Dank für eure Hilfe,
viele Grüße

TheDude
fxneumann
Beiträge: 8
Registriert: 19. Jan 2014, 11:49

Re: SSL erzwingen

Beitrag von fxneumann »

Reicht die Angabe der Zeile:
Nein, das genügt nicht. Zusätzlich sollten alle Aufrufe über http nach https umgeleitet werden, z. B. per .htaccess-Datei. Hier wird beschrieben, wie das geht (in den Antworten wird auch eine Möglichkeit nur per PHP beschrieben, das ist aber deutlich weniger elegant):

http://stackoverflow.com/questions/4398 ... od-rewrite

Viele Grüße

Felix
TheDude
Beiträge: 60
Registriert: 24. Nov 2011, 12:11

Re: SSL erzwingen

Beitrag von TheDude »

Hallo Felix,

... vielen Dank für den Tipp.

Da ich ja den Aufruf grundsätzlich aller Seiten per https erzwingen will habe ich nun eine .htaccess Datei erstellt mit dem nachfolgenden Inhalt:

Code: Alles auswählen

RewriteEngine on

# Check for POST Submission
RewriteCond %{REQUEST_METHOD} !^POST$

# Forcing HTTPS
RewriteEngine On 
RewriteCond %{SERVER_PORT} 80 
RewriteRule ^(.*)$ https://subdomain.meinedomain.de/$1 [R,L]
Anschließend habe ich die Seite per http:// aufgerufen. Die URL wechselte anschließend wir gewünscht nach https:// - und auch bei allen weiteren Folgeseiten stand das https:// in der Adresszeile.

Ist das jetzt ein gutes Zeichen? Oder sollte ich noch etwas beachten/testen?

Nochmals vielen Dank & viele Grüße
TheDude
Benutzeravatar
m6joe
Beiträge: 51
Registriert: 18. Sep 2015, 18:26
Wohnort: Finkenberg
Kontaktdaten:

Re: SSL erzwingen

Beitrag von m6joe »

Ich darf das Thema nochmals aufgreifen:

Meine .htacces liest sich so:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
habe es allerdings auch schon so - wie in diesem Thread -
RewriteEngine on

# Check for POST Submission
RewriteCond %{REQUEST_METHOD} !^POST$

# Forcing HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://subdomain.meinedomain.at/$1 [R,L]
und auch so
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
probiert.

Die Domain an sich lädt sich immer in https ein, wenn ich aber nach dem Aufruf in der Adressleiste (es lädt bekanntermaßen ja ../adm_program/index.php) das "S" aus dem https entferne bekomme ich auch die unverschlüsselte Seite angezeigt...

Das ist doch bestimmt nicht Sinn der Sache, oder benötigt die .htaccess noch eine 2. Regel?
Antworten