RSS Facebook Google+ Twitter

Joomla-Bugs

Neuigkeiten: Aktuelle Joomla!-Version: 3.9.0
Willkommen Gast. Bitte einloggen oder registrieren.

Autor Thema: [CLOSED] [Vorschlag] Selektive SSL-Verschlüsselung: Konfiguration verbessern  (Gelesen 2842 mal)

Ab 3. Dezember 2015 soll die Public Beta von https://letsencrypt.org für jedermann zugänglich sein. D. h. ab dann gibt es kostenlose SSL-Zertifikate - ohne Browser-Fehlermeldung - für jeden!

Wer sicherheitsbewusst mit Anfragen und Personendaten (auch im Rahmen der Joomla-Registrierung) umgeht, wird dies sicher zum Anlass nehmen, endlich bestimmte Menüpunkte, wie Login/Registrierung, Kontaktformular, Diskussionsforum etc., selektiv via SSL zu verschlüsseln. Alle anderen Menüpunkte sollten unverschlüsselt bleiben, um sowohl die Netzlast als auch die Rechnerleistung und damit die Reaktionszeiten nicht unnötig zu strapazieren.

In allen bisherigen Joomla-Versionen ist die Konfiguration für die selektive SSL-Verschlüsselung m. E. sehr ungünstig positioniert unter Menüeintrag > Metadaten > SSL-Sicherheit. Viele vermuten/erwarten sie dort nicht.
Nach kurzer Diskussion auf http://www.joomlaportal.de/joomla-3-x-sicherheit/322932-nur-bestimmte-inhalte-bereiche-ssl-verschl-sseln.html#post1607332 deshalb der Vorschlag - angeregt durch "Later":

Die Konfiguration der SSL-Verschlüsselung sollte auffälliger / leichter zugänglich positioniert werden.

1.) Globale Einstellung in den Menüs-Haupt-Optionen: SSL ja / nein / ignorieren.
2.) In den einzelnen Menüeinträgen selber statt "ignorieren" => "Globale Einstellung verwenden" (voreingestellt) oder aber ja bzw. nein.

Wer die überwiegende Zahl der Menüpunkte SSL-verschlüsselt, wählt global "ja" vor und muss dann für alle nicht zu verschlüsselnden Menüpunkte jeweils explizit "nein" zuweisen. Sofern überwiegend unverschlüsselte Menüpunkte vorhanden sind, genau umgekehrt. In beiden Fällen darf aber das "ignorieren" nicht mehr genutzt werden, um stets die Kontrolle über http- und https-Seiten zu behalten - unabhängig davon, ob man von einer verschlüsselten oder unverschlüsselten Seite kommt.

LG, ach-ja
« Letzte Änderung: 23.11.2015, 14:25:33 von zero24 »

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Hallo,


ich habe es mal als "Feature Request" in den Tracker eingetragen.


https://issues.joomla.org/tracker/joomla-cms/8432
Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

Offline zero24

  • Global Moderator
    • Joomla! als Hobby
Hallo ach-ja,


wie man dem Eintrag entnehmen kann gab es in der zwischenzeit zwei Antworten.


Demnach sieht es nicht so aus also würde euer Vorschlag implementiert. Grund dafür ist z.B. dass das Beispiel mit dem Login Formular nicht funkioniert. (das Cookie steht nach dem Login nicht für http Seiten zur verfügung). Sowie das es einen allgemeinen Zug zum https gibt für die gesamte Webseite im gesamten Internet besonbders durch Dienste wie letsencrypt.


Die Funktion ist ja Grundsätzlich da und ich persönlich denke das auch eine Änderung hier nicht viel bringen wird. Sondern eher zu verwirrung führt.


Daher werde ich meine Anfrage im Tracker sowie hier schließen.


Vielen Dank für deine Anregung :+1:



Nichts auf der Welt ist so gerecht verteilt wie der Verstand. Denn jedermann ist überzeugt, daß er genug davon habe. (Rene Descartes, fr. Mathematiker u. Philosoph, 1596 - 1650)

 

BloQcs design by Bloc
| SMF © 2011, Simple Machines
Joomla-Bugs.de is not affiliated with or endorsed by The Joomla! Project™. Use of the Joomla!® name, symbol, logo and related trademarks is permitted under a limited license granted by Open Source Matters, Inc.