[TYPO3-german] Benutzer auf https umleiten - mixed content verhindern
Yvon Folz
yvon.folz at gmail.com
Fri Sep 6 13:55:51 CEST 2013
Hallo Allerseits,
die derzeitige Lösung reicht aus, da ich nur bei bestimmten Operationen
eine Verschlüsselung einfordere.
Dennoch vielen Dank für die ausführlichen Antworten - die werden mir
bestimmt noch weiterhelfen.
Grüße Yvon
---
Am 6. September 2013 10:33 schrieb Christian Kuhn <lolli at schwarzbu.ch>:
> Moin.
>
>
>
> RewriteEngine On
>> RewriteCond %{HTTPS} !=on
>> RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]
>>
>
> Genau, sowas sollte Serverseiting umgeschrieben werden.
>
> Wenn die Site dann ohnehin nur noch ueber https erreichbar ist (weil http
> immer umgeschrieben wird), dann kann man auch gleich noch paar weitere
> Goodies setzen:
>
> a) HSTS http://en.wikipedia.org/wiki/**HTTP_Strict_Transport_Security<http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security>
>
> Damit erklaert man nem Client das die Site nur https bietet, der Client
> merkt sich das und fragt fortan direkt https ab, nicht mehr http. In nginx
> ist die noetige Einstellung:
>
> add_header Strict-Transport-Security max-age=15768000;
>
>
> b) $GLOBALS['TYPO3_CONF_VARS']['**SYS']['cookieSecure'] = 2;
>
> Betrifft FE und BE user cookies (also die von T3 erstellt werden). Das
> Setting sagt dem Browser es soll die Cookies nur noch ueber https senden.
>
>
> c) $GLOBALS['TYPO3_CONF_VARS']['**SYS']['cookieHttpOnly'] = TRUE;
>
> Browser verhindert JavaScript Zugriff auf TYPO3 session cookies. Das
> sollte JS im Normalfall eh nicht tun muessen, daher sollte es problemlos
> sein das zu setzen.
>
>
> Gruesse
> Christian
>
> ______________________________**_________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-**bin/mailman/listinfo/typo3-**german<http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german>
>
More information about the TYPO3-german
mailing list