[TYPO3-german] Login auf Http oder https-Seite

[Christian Wolff]

Hallo David + Michael,
ich denke aus sicherheits gründen sollte man login formulare eigendlich
immer https geschützt anbieten.

Am 14.10.2012 12:50, schrieb Michael:
> On 13/10/12 21:05, David Greiner wrote:


> SSL (also https) verschluesselt die Kommunikation zwischen Client und
> Server - also die Daten, die zwischen Client/Server ausgetauscht werden.
> Das Formular an sich ist in den meisten Faellen nicht vertraulich und
> muss daher meiner Meinung nach nicht unbedingt bereits durch eine https
> session geschuetzt werden.


das formular selbst enthält zwar keine vertraulichen informationen.
jedoch aber informationen die gegen manipulation geschützt werden müssen.

denn wenn ein angreifer z.b eine man-in-the-middle atacke mache.
könnte er sehr einfach die form url verändern um das formular einfach
auf seinen eigenen server schicken. damit würde er an die vom nutzer
eingegebenen username+passwort gelangen.

deswegen sollte das formular gegen manipulation geschützt werden. und
HTTPS/SSL ist momentan das einzige gängige mittel das diesen anspruch
erfüllt.


wie David schon Richtig festgestellt hat. halten sich auch viele große
anbieter nicht daran. bei vielen seiten ist der login auf jeder seite
präsent und das würde damit den gesamten internet auftritt auf https
festlegen. das bedeutet mehr server last (Kryptographie ist rechen
intensiv). Und die einbindung von 3rd Party scripts wie
Werbenetzwerke/Sozialen-widgehts etc. würde schwieriger werden.

gruss chris