PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie SSL Verbindung beenden?



alegria
17.06.08, 19:26
Hey!

Also ich weiss zwar nicht ob ich hier damit so absolut richtig bin aber ich stell einfach mal die Frage:
Wie "beende" ich eine SSL-Verbindung?

Also wenn ich mich irgendwo authentifiziere bin ich anschlieesend "drin". Aber das geht jetzt solange wie ich meinen Browserverlauf/Cache/Cookies usw. mal lösche...

Gibts irgendne Möglichkeit via Apache die SSL-Verbindungsdauer auf ein Zeitlimit zu beschränken und/oder nen Befehl/Funktion in PHP oder dergleichen der eine SSL Verbindung beendet/zurücksetzt?

Wäre echt toll wenn Ihr mir weiterhelfen könntet denn komischerweise finde ich dazu kaum was im Netz und denk bestimmt nur wieder mal etwas komisch.. :confused:

asi_dkn
17.06.08, 19:39
Wo ist das Problem? Was spricht gegen SSL? Ich meine, hat es irgendwelche Nachteile oder so? Und ja, du kannst sie "beenden" wenn du einfach das Protokoll von http auf https änderst, vorausgesetzt die beiden Server / VHosts zeigen denselben Inhalt. Das kannst du entweder in deiner Webseite machen, mit Apache oder manuell. Aber ich sehe den Nutzen da ehrlich gesagt gar nicht.

alegria
17.06.08, 20:12
Wo ist das Problem? Was spricht gegen SSL?
Eigentlich nichts. Gibt auch keinen Nachteil oder so... Nur folgendes Szenario:
User A geht von Rechner A auf meine Website (liegt in Verzeichnis was SSL Anmeldung benötigt) und loggt sich ein und gut. 4 Stunden später/x Tage später geht User B über Rechner A auch auf meine Website. Dieser muss sich abe nicht mehr einloggen weil das ja shcon vorher User A für Ihn gemacht hatte...

Das find ich blöd und möchte es gern irgendwie unterbinden. Am besten mit ner Art "Logout".


...Protokoll von http auf https änderst
Fällt wohl aus, da das ganze "Projekt" unter server.de/projekt zu erreichen ist und ich deshalb auch ne weiterleitung von http zu https eingerichtet habe...

MiGo
17.06.08, 21:07
User A geht von Rechner A auf meine Website (liegt in Verzeichnis was SSL Anmeldung benötigt) und loggt sich ein und gut. 4 Stunden später/x Tage später geht User B über Rechner A auch auf meine Website. Dieser muss sich abe nicht mehr einloggen weil das ja shcon vorher User A für Ihn gemacht hatte..
Die SSL-Sitzung ist mit dem Schließen des Browserfensters beendet. Danach muß man sich neu anmelden.

Pingu
18.06.08, 08:49
Ich glaube hier werden unterschiedliche Dinge vermischt.

Die SSL-Verbindung besteht beim HTTP immer nur für einen ganz kurzen Moment. Sie besteht nur für den Moment wo der Client die Anfrage an den Server stellt und der Server die Anfrage beantwortet. Mit dem Ende der Antwort wird die SSL-Verbindung und dann die TCP-Verbindung beendet. Es gibt jetzt noch Möglichkeiten wir keepalive, aber die sind bei dieser Betrachtung irrelevant.

Der zweite Punkt, der vollkommen unabhängig von SSL ist, ist die Benutzerauthentifizierung. Das wo der Benutzer seine Authentifizierungsdaten, genannt Credentials, eingibt und sich dem Server gegenüber ausweist. Eine solche Benutzersessionen wird über verschiedene Methoden aufrecht erhalten. Dies hängt davon ab wie die Authentifizierung stattfand. Wenn es über den Standard-HTTP-Mechanismus ist, dann merkt sich der Browser die Daten und sendet sie bei jeder Anfrage an den Server automatisch mit. Hier hängt es also von der Browsereinstellung ab, ob er sie beim Neustart vergessen soll oder nicht.
Findet die Authentifizierung über ein Form-Element auf der Website satt, dann ist der Server dafür verantwortlich sich zu überlegen wie der den Benutzer immer wieder erkennt. Entweder er sendet dem Browser ein Cookie, indem die Benutzerdaten oder eine eindeutige Identifizierungsnummer steht, oder diese Daten werden vom Server in jeden einzelnen Link auf der ausgelieferten Website eingebaut.
Hierbei hängt es jetzt entweder von der Lebensdauer des Cookies ab oder eben von den URLs. Aber dies hat nichts mit SSL zu tun.

alegria
18.06.08, 18:23
Danke danke! Jetzt hab ich einiges dazu gelernt... Also die Variante mit Browser schliessen und beim nächsten öffnen wird wieder authentifizierung angefordert reicht mir eigentlich. alles andere wäre vom zweck/aufwand her zu umständlich (php, cookie etc.)

Ich nutze im übrigen die "HTTP's authentication framework, the original Basic authentication"...

Nochmals vielen Dank!