HTTP Umleiten auf HTTPs | .htaccess macht es möglich!

 

Wer selbst einen Blog oder eine Website mit sensiblen Logins besitzt sollte darüber nach denken mit SSL diese zu verschlüsseln um für mehr Sicherheit zu sorgen.

Gehen wir von dem Fall aus, wir sitzen in einem Internet Cafe und wollen uns gerade in unseren Blog einloggen, gut und schön. Jedoch ohne SSL Verschlüsselung ein absolutes „No Go!“.

Warum? Ganz einfach, wer sich schon mal mit dem Wireshark auseinander gesetzt hat, weiß wie einfach es ist den Netzwerkverkehr mit zu lesen und somit über ARP-Spoofing  an den kompletten Benutzernamen und Kennwort zu gelangen.

Nun will ich euch nicht weiter auf die Folter spannen und wir beginnen mit der Sicherstellung das eure Daten nicht unverschlüsselt übermittelt werden.

 

Es gibt nun ein paar Varianten, ich erkläre euch nun die einfachste und was sich dahinter verbirgt.

 

htaccess ist das Stichwort. Der ein oder andere kennt es bestimmt und wird vermutlich denken

Ist das nicht nur nützlich wenn man ein Verzeichnis Kennwort schützen will?

htaccess - Kennwort Abfra

Nein bei weitem kann man htaccess nicht nur auf den Kennwortschutz reduzieren. Zum Glück!

 

Wir machen uns den Parameter mod_rewrite zu nutzen.

 

Im ersten Schritt erstellen wir uns eine .htaccess Datei in dem Verzeichnis in dem wir gerne den Protokollwechsel von HTTP auf HTTPS vornehmen wollen (vorzugsweise in dem ein Login-Script mit .php oder dergleichen liegt um das abfangen der Logindaten zu erschweren [erschweren deshalb, da man nie 100% sicher sein kann])

z.B. /var/www/domain.de/login/

somit lautet der Befehl unter Linux wenn wir mit dem Editor Nano arbeiten wie folgt:

(der Punkt vor dem Dateinamen versteckt die Datei)

und pflegen den folgenden Content ein

das schöne an diesem Script ist, es muss nichts weiter verändert werden.

Warum? Nun, ganz einfach. HTTP_HOST steht für in unserem Fall für eine Variable die den Host definiert (domain.de) und REQUEST_URI für den Ordner login.

 

Das ganze wird unter Nano mit STRG+O gespeichert und mit STRG+X wird dieser beendet.

 

!!! Wichtig #1 !!!

Ohne jedoch in Apache das rewrite Modul zu aktivieren, wird lediglich ein Fehler im Log ausgegeben.

 

 

Deshalb müssen wir zu guter letzt noch folgenden Befehl ausführen

!!! Wichtig #2 !!!

Falls ihr zuvor noch nichts mit .htaccess am Hut hattet, solltet ihr überprüfen ob im Apache2 AllowRewrite aktiviert ist, sonst hat .htaccess keinerlei Auswirkung.

 

nano /etc/apache2/apache2.conf

Mit STRG+W nach AllowOverrite suchen.

 

Nun gibt es einen Zeilenblock der wie folgt aussieht.

 

Ändern in

Jetzt noch Apache neustarten.

 

voilà!

 

Falls Fragen aufkommen einfach stellen.

Grüße TheArgon

Kommentar verfassen