[uhu]

Ich habe das Kontaktscript 2.7 light in meine Seite eingebaut und es funktioniert prima. Wenn ich es allerdings über den ssl-proxy aufrufe, meldet mein Browser ein ungültiges Sicherheitszertifikat. Da ich das Script zunächst in der Version ausprobiert hatte, die man im KIS aktivieren kann, weiß ich, dass das beim Aufruf dieser automatisch generierten php-Datei nicht passiert. Ich habe auch gesehen, dass es in dieser Datei zu dem Thema SSL zusätzlichen Code gibt. Allerdings weiß ich nicht, ob er tatsächlich für das Verhindern der Sicherheitswarnung verantwortlich ist, ob ich seinen Anfang und sein Ende überhaupt exakt ermittelt habe und wenn ja, wo er in meiner neuen Datei eingebaut werden müsste.
Ich habe mich im Zusammenhang mit dem Einbau des Scripts in meine Seite, erstmals mit PHP konfrontiert, arbeite mit Notepad und mir raucht der Kopf. Deshalb frage ich jetzt; denn hier fällt jemandem die Beantwortung vermutlich vergleichsweise leicht.

Folgender Code + Kommentar ist bei der HE-Variante zusätzlich drin:

...

Edit-Hinweis:
Habe unvollständigen Code rausgenommen und im folgenden Beitrag vervollständigt und Links rausgenommen, weil sie nun nicht mehr nötig sind.

Dieser Beitrag wurde von uhu bearbeitet: 29 November 2009 - 08:49

[uhu]

Das Problem hat sich in Luft aufgelöst; denn mein Browser gibt die Sicherheitswarnung nun nicht mehr aus.

Weshalb nicht, ist mir allerdings völlig unklar. Geändert habe ich weder was an der PHP-Datei noch am Browser. Möglicherweise hatte sich Firefox einmal verschluckt und dann sein Husten immer wiederholt, wenn er die entsprechenden Adressen gesehen hat. Der Browser hat so seltsame Merk-Routinen, ist mir schon mal aufgefallen. Oder muss der SSL-Proxy etwa bei jeder Seite, die man erstmals mit ihm aufruft, zunächst einen Adoptionsprozess bearbeiten, bis er irgendwann den Browsern signalisiert: "Ja, die Adresse ist tatsächlich ein Kind von mir und kein Missbraucher." ?

Und weil ich wieder frisch bin, habe ich nun auch Anfang und Ende des zusätzlichen Codes + Kommentars sowie dessen Position in der index.php-Variante von HE identifiziert:

<?php 

// Headtitle ausgeben
echo $head;

// Handelt es sich um eine https Verbindung? URL für Formular zusammensetzen
if ( !empty( $_SERVER['HTTP_X_FORWARDED_HOST'] ) AND !empty( $_SERVER['HTTP_X_FORWARDED_SERVER'] ) AND $_SERVER['HTTP_X_FORWARDED_SERVER'] === "ssl.webpack.de" ) {
 $action_url = 'https://' . $_SERVER['HTTP_X_FORWARDED_HOST'] . '/' . $_SERVER['SERVER_NAME'] . $_SERVER['PHP_SELF'];
} else {
 $action_url = $_SERVER['PHP_SELF'];
}
?>

Position: Direkt als erster Punkt im <body> [Wo darf man in dem Code eigentlich Zeilenumbrüche einsetzen?]

Er war nicht nötig, um die Sicherheitswarnung zu verhindern; denn er ist bislang nicht in meiner PHP-Datei drin. Aber zu irgendwas ist er wohl nütze. Es wäre toll, wenn mir jemand verriete wozu.

Dieser Beitrag wurde von uhu bearbeitet: 29 November 2009 - 09:31

[Moosa]

Hi,
wie du schon richtig angemerkt hast, manchmal macht der Browser komische Sachen und man weiß nicht genau warum es nun funktioniert
SSL in Verbindung mit dem Kontaktscript ist eine recht seltene Kombination und deshalb bin ich da auch nicht so tief in der Sache drin.
Meines Wissens gelten die SSL-Zertifikate immer für die ganze Domain, d.h. es sollte eigentlich nicht so sein, das er sich bei der einen Sache verschluckt und die andere Seite passieren lässt.

Der Code sorgt dafür, dass SSL-Anfragen als https-Anfragen behandelt werden. Das ist meines Wissens nach nicht zwingend notwendig, SSL-Verschlüsselung kann auch über "normale" http-Header organisiert werden. Der Code guckt im wesentlichen nur, ob die Seite vom SSL-Server gesendet wurde und gibt sich dann selber als https-Seite aus.

Bei den Zeilenumbrüchen bin ich mir gar nicht so sicher, das macht man meistens einfach automatisch... Ich weiß auch nicht, ob die Zeilenumbrüche für den Code überhaupt eine Bedeutung haben oder ob das nur eine rein optische Sache für die Lesbarkeit ist.

Gruß
Moosa

[uhu]

Zusätzlicher Code von HE:
Aha, wahrscheinlich hat HE den Code als Service für Leute da rein geschrieben, die nicht den allgemeinen HE-SSL-Proxy nutzen, sondern irgendwelche anderen SSL-Server; denn mit dem Proxy klappt die https-Anzeige auch ohne den Code.

Zeilenumbrüche:
Ich werde demnächst mal testen, was alternative Zeilenumbrüche in PHP-Code bewirken oder nicht. "Obwohl" mir die IT-Comedy-Sendung dazu einfällt, in der eine Person, die keine Ahnung von IT hat, aber Leiterin der IT-Abteilung ist, den Kollegen beim Abteilungsleitertreffen sagt: "Wenn Sie den Begriff "Google" bei Google eingeben, dann zerstören Sie damit das Internet. Also machen Sie das bitte nicht, auch nicht nur mal versuchen!"

Dieser Beitrag wurde von uhu bearbeitet: 06 Dezember 2009 - 08:43

[uhu]

Nachtrag:
So selten sollte die verschlüsselte Übertragung von Daten im Zusammenhang mit Kontaktformularen doch eigentlich nicht sein. Bei Host Europe braucht man dafür kein eigenes Zertifikat, sondern kann (ab Webpack M) einen Proxy dafür nutzen. Dazu gebe ich hier direkt mal einen Tipp ab:

Kontaktscript 2.7 mit Host Europes SSL-Proxy nutzen
So gehts

Aufgabe:
Das Kontaktscipt soll über den SSL-Proxy von HE (verfügbar ab Webpack M, nachdem er im KIS aktiviert wurde) aufgerufen werden und so Verschlüsselungsschutz erhalten. Dem Link zur Kontaktseite wird deshalb https://ssl.webpack.de/ voran gestellt.

Problem:
Die Seite wird zwar angezeigt, aber in der Adresse steht nur http://eigene-domain.tld/... und nicht https://ssl.webpack....domain.tld/.... Die Seite bleibt also ohne Verschlüsselungsschutz.

Lösung:
Den Link korrigieren; denn dort wurde die Zieladresse wahrscheinlich ohne abschließenden Slash angegeben, ohne Slash kommt man beim Proxy aber nicht rein.
Falsch: https://ssl.webpack....main.tld/ordner
Richtig: https://ssl.webpack....ain.tld/ordner/

Dieser Beitrag wurde von uhu bearbeitet: 06 Dezember 2009 - 10:12