Author Topic: Nur den admin login über https laufen lassen klappt nicht  (Read 1993 times)

Offline betra

  • Posts: 32
Nur den admin login über https laufen lassen klappt nicht
« on: August 22, 2017, 11:54:31 AM »
Ich möchte den admin Login über https machen lassen,
die normalen Seiten sollen per http erreichbar sein.
Wenn ich in der config.php die admin-url auf https ändere gibt es eine Fehlermeldung:

Template Error: set_root: is not a directory.
Halted.

Der Aufruf der normalen Seiten über http klappt noch.

Ich hab noch WB 2.8.3 1611

Offline jacobi22

  • Posts: 5875
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #1 on: August 22, 2017, 01:18:10 PM »
mir fehlt der Sinn für solche Aktionen, zumal du noch eine der Versionen benutzt, für die es Sicherheitswarnunge n gibt. Auf der einen Seite möchtest du Sicherheit (oder die Meckerei der Browser stört dich nur), auf der anderen kommst du den Sicherheitsempfehlu ngen des Anbiters nicht nach, die eindeutig auf Versionupgrade geht. Meines Erachtens wäre das dann auch kein "reines" SSL, aber das nur nebenbei

Best Solution wäre wohl ein URL-rewrite in einer .htaccess. Dafür gibt es im Web genügend Beispielcode
Allerdings muß der Server das https auch Anbieten, bei vielen ist es inklusive, muß aber separat aktiviert werden, bei anderen kostet es was

set_root: is not a directory bedeutet, das der Pfad zum Backend-Template nicht gültig ist, was eher auf ein Problem mit der aktivierung schlißen läßt, wenn denn der Pfad zu ADMIN_DIRECTORY korrekt eingegeben wurde.
In späteren WB-Version gibt es diese Möglichkeit garnicht mehr, da wird der Pfad automatisch zusammengesetzt, bedeutet im Umkehrschluß: wenn die die komplette Domain auf https laufen läßt, ist dein Adminbereich automatisch mit dabei
Wer nicht will, findet Gründe, wer will, findet Wege.

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3026
  • Gender: Female
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #2 on: August 22, 2017, 01:45:41 PM »
Aufrufe über HTTPS funktionieren grundsätzlich nur, wenn auf dem Server ein für die Domain gültiges Zertifikat vorhanden ist. Und zusätzlich auch der Server / die Domain entsprechend eingerichtet ist.
Auf alle diese Faktoren hat WB selbstverständlich keinerlei Einfluss. Wir können nur vorhandenes nutzen, wenn benötigt.

Manuela
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline betra

  • Posts: 32
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #3 on: August 22, 2017, 02:58:57 PM »
Ich habe von meinem Domain-Hoster ein SSL Zertifikat bekommen und gehe mal davon aus, dass er das auch richtig aktiviert hat.

Wollte das auf meinem Auftritt ausprobieren, da einer meiner Kunden über die Firefox Meldungen beim Login irritiert war.

Werd mal den Redirect via .htaccess versuchen.

Danke für eure Antworten.

Offline jacobi22

  • Posts: 5875
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #4 on: August 22, 2017, 11:42:50 PM »
Früher oder später wirst du um https nicht herum kommen, ab Oktober möchte z.b. Chrome dicke, fette Sicherheitswarnunge n auf Seiten mit Formularen einblenden, wenn diese nicht über https laufen, das ist etwa 10 Stufen höher als der kleine Hinweis im Firefox, der im Admin-Login erscheint (und da auch im Browser abstellbar wäre). Ein auffallender Hinweis, das die Seite nicht sicher ist, vertreibt Besucher.
Wer nicht will, findet Gründe, wer will, findet Wege.

Offline evaki

  • Posts: 2749
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #5 on: October 17, 2017, 08:37:40 AM »
Auch wenns ein wenig her ist.
Das Anliegen ist doch nachvollziehbar
SSL-Login schützt WB bzw. den WB-Benutzer.
SSL für den Webauftritt (FE) schützt sonstwen noch.
Man berücksichtige bitte die Entwicklung der letzten Jahre in Sachen SSL.

Zeitweilig sind auch einige unserer Anwender so verfahren.
Es funktionierte im BE tatsächlich nur Login per SSL (was der Absicht dahinter genügen könnte), jegliche darauf folgende Aktion "schaltete" wieder auf ungesichert.

Naja, das nur weil ich bei "meinen" Anwendern ja auch bei kreativen Vorstößen zuschaue, und den Vorgang daher ganz und garnicht absonderlich finde.

MfG. Evaki

Offline jacobi22

  • Posts: 5875
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #6 on: October 17, 2017, 02:12:19 PM »
Zertifikat und Einrichtung auf dem Server vorausgesetzt, bin ich (ungetestet) der Meinung, das der reine BE-Login das kleinste Problem ist. Das bekomm ich auch mit einem Rewrite hin. Dennoch möchte ich auf die möglichen Folgen hinweisen, auch, wenn das alles Open Source ist und jeder machen kann, was er möchte.

Frontend: Aktuell sind die Browser noch recht gnädig, was SSL-Warnungen angeht. Die angekündigten Warnungen bekommt nur der, der sie auch haben will. Ein Klick auf das i in der Adresszeile zum Beispiel. Die bisher bekannten Pläne schauen dann so aus -> https://i.gyazo.com/78af85d2a9e4d665e000ce629cbbd80f.png und das immer, wenn Formulare bzw Input-Felder auf der Seite erkannt werden. Also alle Kontaktformulare, alle Logins. Ich kenne auch Projekte, in denen lediglich solch Einzelseiten auf SSL gesetzt wurden, Hintergründe egal, in den meisten Fällen liegt es aber daran, das der Rest der Seiten meist auf Grund der Einbindung von unsicherem Inhalt, (z.b. ein Bild zu einer http-Adresse, Google-Fonts auf http statt https usw) im Browser eigentlich noch härter bestraft werden als reiner http-Inhalt.

Backend: Das gesamte Backend ist hier und in jedem anderen CMS eine Aneinanderreihung von Formularen. Die deutlich sichtbare Warnung gibt es aktuell nur für die BE-Login-Seite (übrigens in jeden Browsersettings auch abstellbar), ansonsten auch hier über den i-Button in der Adresszeile. Die geplanten verstärkten Hinweise werden bei den Benutzern vor allem zu Unsicherheit führen bis hin zur Panik (auch das war hier und in anderen CMS-Foren schon so zu lesen).
Lediglich den Login jetzt mit SSL abzusichern, spielt m.E. eine Sicherheit vor, die es nicht gibt, da alles, was dahinter kommt, also nach erfolgtem Login, dann wieder ohne SSL versendet wird. Es ließe sich auch per .htaccess alles, was über meine-domain.de/admin läuft, auf SSL umleiten, wobei ich voraussetze, das bei umbenannten Admin-Verzeichnis der Benutzer auch den URL-Rewrite anpassen kann.
Komme ich aber innerhalb des Systems auf Weiterleitungen z.b. zu einer save.php, die in den älteren Modulen jeweils über das Modul und nicht über admin läuft, bin ich raus aus meiner Sicherheit. In den meisten Modulen vor 2016 werden lediglich die Links von der Seitenübersicht zur modify.php auf SSL laufen und der Rest dann unsicherer Content sein, was heute mit dem auffälligem durchgestrichenem Schloß in der Adresszeile gekennzeichet ist. Das beträfe eigentlich die komplette Inhaltsbearbeitung außerhalb der modify.php

Wie oben schon gesagt, mir fehlt der Sinn dafür: die meisten Anbieter haben heut zu Tage mindestens ein kostenfreies Zertifikat pro Account. Mit den WB-Versionen ab SP7 wäre lediglich ein Buchstabe in der config.php zu ändern und ggf eine .htaccess mit einem Redirekt auf SSL zum Abfangen der alten http-Verlinkungen. Unterm Strich eine Minute Arbeit.
Content kontrollieren, jede Seite einmal durchblättern und ggf einen alten Link von http zu https ändern. Für jede Seite zeigt mir das Schloß und das info-Icon in der Browserzeile an, ob ich alles habe oder nicht. Ist es grün, bin ich "sicher". Ist es nicht grün, bemühe ICH den Quelltext und deren Suche und verwende die Kombination http:

Wie gesagt, kann jeder machen, was er möchte. Aber bisher konnte mir noch keiner erklären, warum er das genauso haben will. In aller Regel bekomm ich solche Antworten, wie ich sie von meinen Mädels hier kenne: es ist so, weil es so ist :-o :-o :-o

P.S.1: Was wir aktuell sehen und auch das, was in den Vorankündigungen für die Zukunft bisher bekannt ist, ist nur der Anfang. Es wird in ein, zwei Jahren niemand mehr um https drum herum kommen. Die Suchmaschinen strafen heute schon unsichere Inhalte ab, "falsches, vorgetäuschtes" SSL (also sicherer Content mit Links zu unsicheren anderen Inhalten drin) und unsichere Formulare. Beispiel: mein verlinktes Bild oben verwendet eine SSL-Adresse. Würde sie das nicht, wird der gesamte Inhalt dieser Forumsseite hier als unsicherer Inhalt eingestuft.

P.S.2: Mit den älteren WB-Versionen, wo noch die komplette ADMIN_URL drin stand, wäre eine Unterteilung von BE und FE problemloser möglich. Allerdings war das immer eine Fehlerquelle und selbst mit der aktuellen Lösung sind viele nicht in der Lage, bei einem Umzug von Server zu Server ihre Adresse richtig einzugeben und eindeutige Hinweise wie // no trailing slash or backslash!! scheinen da wenig Beachtung zu finden, von daher war es nur logisch, das mögliche Fehlerquellen auf ein Minimum reduziert wurden und an Stelle der alten ADMIN_URL heute ledigtlich ADMIN_DIRECTORY  verwendet wird. Für eine getrennte Abwicklung eher hinderlich, betrachtet man aber den gesamten Sinn und Zweck von SSL sowie deren angedrohten Folgen bei NICHT-NUTZUNG spielt das m.E. heute auch keine Rolle mehr. Du wirst auch einem Fachmann keine verständliche Erklärung liefern können, warum man das trennen möchte. Ich kann aber dennoch akzeptieren, das sich jemand die Freiheit nehmen möchte, sein CMS so zu gestalten, wie er will.


Wer nicht will, findet Gründe, wer will, findet Wege.

Offline evaki

  • Posts: 2749
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #7 on: October 17, 2017, 06:30:37 PM »
Wie schon gesagt, es war eine Beobachtung bei meinen Anwendern, und bei deren Hoster gabs mal so'n "Pseudozertifikat", das sie für den/das sichere Login (user/Pw) nutzen wollten. Das war das einzige Interesse daran! Später, nachdem es dann Zertifikate für nix und Lau gab, und auch noch der NSA-Kram hinzu kam, war dieses Vorgehen nicht mehr angesagt. Auch, ob das damalige Vorgehen, wie angenommen funktioniert hat, habe ich selbst nicht untersucht.

Ansonsten wird die Entwicklung dorthin gehen, wie Du es beschrieben hast (hätte nicht notgetan  :-)  )
Doch ich sehe ja so einige schräge Sachen. Sogar aus den Gruppen, bei denen man glaubt/annimmt, daß die übern Tellerrand oder auf irgendwelche Zeichen in 'ner Browserzeile schauen, und mehr. Aber alles was ihre/deren Kreise stört wird weggeklickt. Lern -und beratungsresistent, und das seit Jahren.
Statt mich zu ärgern, habe ich daraus gelernt klar und deutlich Sicherheitsbelange nicht nur anzusprechen, sondern die auch schriftlich niederzulegen. Sonst passierts wie man das so kennt: Schuld haben immer nur die anderen"  :-D  :-D (Es geht aber noch schlimmer. Aktuell um w10home auf Verwaltungsrechnern 8-) )
Schön ists aber auch zu wissen: Es gibt die Neugierigen, mit wissensbegehrenden Fragen. Das bringt Freude.
MfG. Evaki
« Last Edit: October 17, 2017, 06:45:31 PM by evaki »

Offline jacobi22

  • Posts: 5875
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Nur den admin login über https laufen lassen klappt nicht
« Reply #8 on: October 17, 2017, 07:58:53 PM »
Quote
Ansonsten wird die Entwicklung dorthin gehen, wie Du es beschrieben hast (hätte nicht notgetan  :-)  )

dich brauch oder muß ich nicht überzeugen ;-)
ich denk, du bist vertraut mit der Materie. Es geht da eher um den Thread-Ersteller und er ist ja bei weitem nicht der Einzige mit solchen Anliegen, auch Systemübergreifend
Wer nicht will, findet Gründe, wer will, findet Wege.