[TYPO3-german] Backend über https?
Andreas Rieser
A.Rieser at T3site.com
Tue Apr 25 22:12:33 CEST 2006
Jan Gerle schrieb:
> Hallo zusammen
>
> Die DLRG betreibt ihre Internetpräsenz und die von mehreren hundert
> Gliederungen über Typo3. Bei uns im Admin-Kreis ist grade eine
> Diskussion entbrannt, ob wir das Backend nicht sicherheitshalber über
> https anbieten sollen. Gibt es dazu Erfahrungen?
>
> Die clientseitige MD5-Geschichte beim Login ins Backend ist uns bekannt.
> Allerdings ist der verschickte Hash doch letztlich genauso gut wie ein
> Kennwort, erhalte ich damit doch Zugang zum System. Dies ist einer der
> Gedankengänge.
>
> Grüße,
> Jan Gerle
>
> P.S.: Hier ->http://wiki.typo3.org/index.php/Security<- finden sich
> interessante Tips zum Absichern von Typo3
Hallo!
BE läuft unter HTTPS einwandfrei - grundsätzlich also keine Probleme.
Man sollte sich allerdings darüber im Klaren sein, das dem Server sehr
viel Arbeit aufgehalst wird, wenn das BE die ganze Zeit verschlüsselt
ausgeliefert wird. Abgesehen von der Performance-Einbuße bringt das auch
nichts, da die Verschlüsselung eigentlich nur beim Login einen Sinn
macht. Nachdem sich der User eingeloggt hat, werden ja in der Regel
keine kritischen Daten mehr übertragen (falls mit geschäftskritischen
Daten gearbeitet wird, sollte ALLES verschlüsselt übertragen werden).
Um das Backend nur für das Login zu verschlüsseln, gibt es in Version
4.0 im InstallTool eine neue Option für lockSSL.
siehe auch
http://typo3.org/development/articles/new-features-40/page/3/
Grüße
Andreas Rieser
More information about the TYPO3-german
mailing list