[PHP] SSL-Verschlüsselung?

[Krain]

Hallo zusammen,

kann ich mit PHP abfragen, ob sich der Besucher auf einer SSL-Seite befindet. Und falls er nicht drauf ist, in auf diese Seite lenke?

Meine SSL-Domain liegt auf dem selben Verzeichnis wie die Hauptdomain (ich weiß dass es nicht unbedingt günstig ist - ändert sich auch hoffentlich bald).

Kann mir jemand mehr Informationen darüber geben?

gruss

markus

[Amstelchen]

die variable $_SERVER["SERVER_PORT"] enthält dann üblicherweise den wert 443 und $_SERVER["SCRIPT_URI"] "https" als erste 5 zeichen.

achja, und umleiten: header("Location: https://blablabla");

s'Amstel

[Krain]

Danke schön, das wollte ich wissen.

gruss

markus

[dummabua]

du willst also, dass der Besucher nur auf https kommt und nicht http?

Das kannst du mit der oben genannten Methode machen oder, wenn du Zugriff auf die Webserver Konfig hast, dann kannst das am Webserver selbst einstellen

[Habi]

Sollte auch mit einer htaccess Datei gehen (http://habi-developing.blog-city.com/read/1080012.htm).

[Krain]

@Habi

Das ist auch sehr interessant. Es ist ja dann theoretisch auch möglich zu unterscheiden, welche Seite auf HTTPS landen soll, nicht wahr?

Mal sehen, was sich am besten anbietet.

@dummabua

Zugriff auf die config habe ich leider nicht.

Was würdet Ihr grundsätzlich empfehlen? Auf der Präsenz sind nur ein ein paar Formulare, die verschlüsselt übertragen werden soll. Der Rest soll rein über HTTP laufen! IMHO ist es dann einfacher in die Seiten, in denen ich HTTPS brauche die header(...) Anweisung einzubauen. Was meint Ihr?

gruss

markus

[dummabua]

Prinzipiell empfehle ich immer Serverseitige umleitung, also vom Webserver, aber da du diese Möglichkeit nicht hast, wird dir nur das PHP Skript bzw. die htaccess datei bleiben. Dabei würde ich allerdings zu htaccess tendieren, da es nicht erst auf Skript ebene passiert.

PS: Verschlüssel doch gleich alle Seiten SSL, denk immer dran: Encrypted communication saves jobs at the NSA

[Krain]

Gleich alle Seiten verschlüsseln ist auch Okay, muss ich mal drüber nachdenken.

Andere Frage, die etwas vom Thema abweicht: Ich habe mehrere Präsenzen gesehen, die den eigentlichen Dateinamen aus der URL "schneiden". Läßt sich auch über die header-Methode händeln oder funktioniert das anders. Also bei einer Seite, da bin ich mir ziemlich sicher, müsste es so gewesen sein, dass einfach versch. index.* auf mehrere Verzeichnisse aufgeteilt wurden, so dass nur der Pfad: "http://www.[???].tld/search/" zu sehen war;

Ich würde gerne meine PHP-Dateinamen "verstecken".

gruss

markus

[Amstelchen]

ad "alle seiten verschlüsseln":

dann werden meines wissens auch bilder und anderer content über https transportiert, was natürlich auch zusätzliche last bedeutet.

ad "schneiden":

als DirectoryIndex (d.h. jenes das immer aufgerufen wird, wenn ein pfad ohne dateinamen als url angegeben wird) ist bei den meisten servern die index.htm,index.html - oder eben index.php oder schasquastl.htm ...

kann, wie der vorposter schrieb, auch über .htaccess eingestellt werden.

s'Amstel

[Krain]

@Amstelchen

Gut, das weiß ich schon. Also lieg ich mit meiner Vermutung richtig, dass besagte Präsenzen einfach eine Ordnerstruktur aufgebaut haben, in der in jedem Ordner einfach eine "index.php" (oder was auch immer) liegt. Liege ich mit dieser Vermutung richtig. Ich weiß nicht ob ich hier ein Beispiel posten darf, falls nicht @mods bitte wieder löschen: Beispiel

Bei obigen Beispiel ist es IMHO so realisiert, seh ich das richtig?

EDIT:

Andere Vermutung: Könnte auch über JSP laufen fällt mir gerade ein!

gruss

markus

[Wolle]

Also lieg ich mit meiner Vermutung richtig, dass besagte Präsenzen einfach eine Ordnerstruktur aufgebaut haben, in der in jedem Ordner einfach eine "index.php" (oder was auch immer) liegt.

Eher nein. Sowas ist z.B. mit dem Apachemodul mod_rewrite möglich. Wenn man z.B. eine Seitenstrucktur domain.de/index.php?id=5 hat, das id=5 in den Seitennamen (nicht Dateinamen) umwandeln lassen, so das sich domain.de/seitenname/ ergibt. Das wird gemacht weil einige Suchmaschinen etwas empfindlich auf die id reagieren.

Mit Typo3 ist das z.B. auch möglich.

[kills]

Ich würde den kompletten auftritt auf HTTPS laufen lassen.

Viele Browser warnen den Benutzer wenn man eine HTTPS verbindung verlässt und wenn das bei dir ständig der Fall ist, ist das ganz schnell nervig.

[Krain]

Ich würde den kompletten auftritt auf HTTPS laufen lassen.

Viele Browser warnen den Benutzer wenn man eine HTTPS verbindung verlässt und wenn das bei dir ständig der Fall ist, ist das ganz schnell nervig.

Gutes Argument.