[TYPO3-german] Login auf Http oder https-Seite

[Michael]

On 13/10/12 21:05, David Greiner wrote:

>>> Sollte eine Seite, die ein Login-Formular (oder wegen mir auch ein
>>> anderes Formular) beinhaltet, selbst nur via https aufrufbar sein, oder
>>> "reicht" es, wenn das Target der Form eine Https-Seite ist?

SSL (also https) verschluesselt die Kommunikation zwischen Client und
Server - also die Daten, die zwischen Client/Server ausgetauscht werden.
Das Formular an sich ist in den meisten Faellen nicht vertraulich und
muss daher meiner Meinung nach nicht unbedingt bereits durch eine https
session geschuetzt werden.

Die Daten, die im Formular eingegeben und dann durch "submit" an den
Server geschickt werden, dagegen schon! Daher muss die in der als
action="..." angegebenen Adresse mit https:// beginnen.

Browser zeigen dem end-user allerdings heutzutage an, wenn Daten ueber
eine geschuetze Kommunikation empfangen/gesendet wurden - zum Beispiel
durch eine farbliche Hervorhebung der location bar oder eines Icons in
der Statuszeile. Wird das Formular ueber http empfangen, fehlt
natuerlich diese Anzeige und dem Benutzer wird erst *nach* dem Absenden
angezeigt, dass die Daten ueber eine SSL Verbindung gesendet wurden.

Daher kann es von Vorteil sein, bereits das Formular ueber https zum
Client zu senden. Bei bestimmten Vorgaengen (z.B. einem Checkout Prozess
ueber mehrere Steps bei einem online shop) kann man bereits sehr frueh
auf https wechseln, auch wenn noch keine wirklich sensible Daten
gesendet werden - beispielsweise gleich am Anfang eines Prozesses, bei
dem im weiteren Verlauf zu schuetzende Daten ausgestauscht werden.


Cheers
Michael