Hallo zusammen,

Die Login-Prozedur meines gegenwärtigen Projekts beinhaltet unter anderem den Login über eine verschlüsselte HTTPS-Verbindung.
Nun gibt es zwei Möglichkeiten zu verfahren:

1. Das Script erkennt automatisch ob SSL verfügbar ist und handelt entsprechend.
2. Der User entscheidet ob er sich per HTTPS einloggen möchte oder nicht.

Ich persönlich ziehe erstere Möglichkeit vor. Nun stellt sich mir allerdings ein Problem in den Weg. Wie soll das Script herausfinden ob SSL auch wirklich verfügbar ist und vom Webserver unterstützt wird?

In einer früheren Variante habe ich den SERVER_SOFTWARE String aus dem superglobalen Array $_SERVER[] überprüft. Wie ich heute bermerkt habe, führt diese allerdings zu Problemen wenn der Webserver seine Signaturen verschleiert.

Eine sehr umständliche Möglichkeit wäre natürlich den Webserver auf Port 443 anzupingen - aber auch das funktioniert nicht immer, und impliziert nicht, dass HTTPS wirklich funktionstüchtig ist.

Es muss doch irgendeine sichere und zuverlässige Möglichkeit geben zu prüfen ob eine HTTPS-Verbingung möglich ist?
Vielen Dank für eure Hilfe...

[robo47]

Ich verstehe das gerade nicht ganz, wenn man dein "Projekt" serverseitig installiert, sollte man doch wissen ob SSL vorhanden ist oder eben nicht, dann setzt man nen Eintrag in der Config vom System auf true, ansonsten auf false (oder wie du das ansonsten handhabst) und regelt das darüber, weil SSL ist ja nicht jetzt da und 5 minuten später weg oder ? Das steht ja fest.

Oder hab ich was falsch verstanden ?

Hm....das wäre natürlich eine weitere Möglichkeit den User gleich von Anfang an an etwas zu binden.
Dann müßte man soetwas wie eine globale Konfiguration einführen....tatsächlich keine schlechte Idee.

Aber im Grunde genommen geht es daraum so viel wie möglich so vereinfachen und zu automatisieren, und wenn es auch anders möglich ist, warum dann nicht dem User die Entscheidung überlassen?

[CIX88]

Vielleicht hilft das weiter:
http://pear.php.net/package/HTTP_Request
(ich habe es bisher nicht ausprobiert)

[think]

Ich halte es im Moment so, dass ich den Usern neben einem normalen Login einfach unter der Loginform einen Link zu einen SSL-Login anbiete. Befindet sich der User auf diesem sicheren Login, kann er wählen ob er diesen standardmässig benutzen möchte oder nicht. Ich denke mehr kannst du da nicht tun, da SSL ja nicht vom User abhängt. Aussderdem hat man bei der Registrierung die Möglichkeit zu wählen ob man die Kekse haben will oder sie lieber in der Schale lässt.

Ich denke mehr Möglichkeiten kannst du dem User in Sicherheitsfragen nicht wirklich bieten.

[Ben]

@think:
Bei ihm geht es aber eher um die Frage, ob der Server SSL anbietet. Nicht darum, ob der User es nutzen will.

So habe ich es jedenfalls verstanden.
Ich stimme robo da allerdings zu. Warum nicht in der Konfiguration festlegen, ob neben einem "normalen" Login auch einer via SSL angeboten wird.
Quasi das, was think dargestellt hat.

Ist in meinen Augen mit der beste Weg.

Grüße, Ben.

@CIX88: Danke, das werde ich mir nacher mal ansehen

Gut, jetzt habe ich meinen Code etwas umgeschrieben. Der Admin kann jetzt in der Datenbank eintragen ob er SSL aktivieren möchte.
[Er wird wohl wissen ob sein Server SSL unterstützt...]

Nun könnte ich tatsächlich den Gedanken von think aufgreifen. Dann allerdings vielleicht so dass beim Loginformular unten eine kleine Checkbox (Sicheren Login verwenden []) ausgegeben wird.

Vielen Dank für eure Hilfe.

[Ben]

Nachtrag:
Kannst ja mal berichten, was dein Rumtesten mit der PEAR-Klasse da gebracht hat.

Ich sag bescheid.