sslug-teknik team mailing list archive

[Lars Riisgaard Ribe <lars@xxxxxxxxxxxxxxxx>]

Atte André Jensen wrote:

> Hejsa
>
> Jeg ved godt, dette måske ikke lige hører vild meget til i 
> sslug.teknik, men der er så mange lyse hoveder her, at jeg håber på 
> overbærenhed og hjælp til at komme videre...
>
> Jeg sidder med et projekt i php. Systemet skal være pasword-beskyttet 
> (det kan jeg godt finde ud af) og køre så sikkert som muligt. Hidtil 
> har vi kørt med phplib (et ad-on bibliotek til php), som vi har 
> besluttet at skrotte af forskellige årsager. Med phplib kørte systemet 
> over alm http og med noget javascript der MD5-krypterer password udfra 
> sessionid (som jeg har forstået det) ved login.
>
> 1) Hvordan fungerer https (kort fortalt...)? Det er jo neget med "http 
> over en sikker forbindelse". Jeg forestiller mig lidt ala en ssh-tunnel.
Inden du får brugt for meget krudt på opsætning, er der, så vidt jeg 
ved, lige et fact om https som er sk... irriterende. Du skal jo have en 
eller anden form for certifikat. Dette kan man købe sig til (i omegnen 
af 4000 - 8000 kr. pr. år!!!) eller lave et selv. Fordelen ved at købe 
et, er at brugerens browser accepterer certifikatet uden brok, da det er 
udstedt af en kendt kilde. Hvis du selv laver det, derimod, får brugeren 
advarsler om, at certifikatets kilde ikke kendes og om man tør acceptere 
det (for nu eller altid) - det har mange brugere lidt svært ved at 
forstå og bliver utrygge. Begge løsninger er ikke vildt fede, så man 
skal overveje om man mener, der virkeligt er brug for det, før man går 
igang med at lave et certifikat (eller betaler:) )


> 2) Vil man kunne undgå kryptering af password, og dermed javascript 
> ved brug af https? Jeg mener, hvis password/brugernavn bliver sendt 
> over en sikker forbindelse burde det jo ikke være nødvendig.
Det skulle jeg mene.

> 3) Hvis der er nogen, som har nogle gode links jeg bør kikke på, vil 
> jeg være taknemlig. Også gerne apache-opsætnings relateret.

Bare søg på mod_ssl på Google.


mange hilsner

Lars