Backend mit SSL Verschlüsselung

[casi1969]

Ein altes Thema das aber (für mich) nie wirklich zufriedenstellend beantwortet wurde: Ich möchte das Backen einer 4.8.18 Installation mit SSL verschlüsseln.

In den FAQ fand ich folgenden Hinweis:

Will man das Backend über eine ssl-Verbindung betreiben, müssen folgende Zeilen in der config.php (fürs backend) angewpaßt werden:

Code: Alles auswählen

/* The web server path to the contenido backend */
$cfg['path']['contenido_fullhtml'] = https://www.domain....  und 
/* The web path to the desired WYSIWYG-Editor */
$cfg['path']['wysiwyg_html']            = 'https://www.domain...

Leider erscheinen im Browser beim Aufrufen der Artikel Fehlermeldungen, die auf ungesicherte Inhalte hinweisen. Die Baseurl habe ich für das Backend schon an gepasst.

Vermutlich werden aber irgendwo im Core nochmals hartcodiert gesetzte http-Pfade auf gerufen. Zumindest weisen einige Vorkommen (in contendido/includes/...) darauf hin.

Hat jemand ähnliche Erfahrungen gemacht und eine Lösung gefunden?

[Oldperl]

Hallo,

dafür gibt es keine schnelle Lösung. Darauf wurde bei der Entwicklung der 4.8 nie wirklich geachtet. Die einzige Möglichkeit die ich sehe ist beides, sowohl Front- als auch Backend über SSL zu fahren.

Gruß aus Franken

Ortwin

[Faar]

Müsste es nicht gehen, wenn man das backend nur über eine eigene Domain bzw. Subdomain erreichen kann?

[Zuschauer]

Nein, das Backend lädt im Editor die Seiten über das Frontend, also "ungeschützt", deshalb die Meldung.

Gruß
Zuschauer

[rethus]

Da bleibt dir nur die Möglichkeit eine https-weiche zu bauen, und deinen webspace so zu konfigurieren dass die FrontPage entweder "nur", oder "auch" über https erreichbar ist.

Mittlerweile verbreitet sich ja auch die protokolllose verknüpfung (z.B bei css und js includes) die dann so aussehen:

<link src="//bliblablub.de/css/style.css">

Hier wird dann vom browser automatisch ein Fallback zum aktuell verwendeten protokoll gemacht mit dem die eigentliche Page aufgerufen wird.


Gesendet mit Tapatalk 2

[casi1969]

Vielen Dank für Euer Feedback!

Wie sieht das denn mit der 4.9 oder der 5 aus. Wurde (oder wird) dort die Möglichkeit berücksichtigt, das Backend sauber über https laufen zu lassen?

[Oldperl]

Mittlerweile verbreitet sich ja auch die protokolllose verknüpfung (z.B bei css und js includes) die dann so aussehen:...

Funktioniert aber nur wirklich wenn der Browser das auch unterstützt, gerade bei älteren Browsern ist das nicht gegeben.

Wie sieht das denn mit der 4.9 oder der 5 aus.

Soweit ich bisher sehen konnte ist das Problem dort gleich wie hier bei der 4.8er. Dadurch das Frontend-Inhalte auch im Backend dargestellt werden gibt es die selbe Problematik.

Helfen würde hier nur eine Möglichkeit bei Aufruf eines SSL-Backends auch die Frontend-Inhalte über SSL erhalten zu können, was aber schon allein daran scheitert, das es dafür im Frontend keine Unterscheidung der Pfade gibt. Ob das in der 4.9 evtl. einfacher zu umgehen ist, da die Pfade des Mandanten nun in einer eigenen cfg-Datei vorgehalten werden kann ich nicht sagen. Sicherlich könnte man dort etwas machen. Auch müsste man mal probieren ob es nicht eine Möglichkeit per htaccess oder per local.config.php gibt.

Gruß aus Franken

Ortwin

[dominik.ziegler]

Wir werden uns hierfür für Version 4.9 Gedanken machen, sodass das Backend mit HTTPS betrieben werden kann.