Stack-Überlauf - Wie man eine Website mit https gesichert machen

Ich habe eine kleine Webapp für ein Unternehmen, ihre Geschäftsdaten zu erhalten zu bauen. Nur diejenigen, innerhalb des Unternehmens wird es verwenden, aber wir planen es in öffentlichen Domain-Host, so dass die Mitarbeiter verbinden können von verschiedenen Standorten App. (Bis jetzt habe ich gebaut Web-Anwendungen, die intern nur gehostet)

Ich frage mich, ob ich eine sichere Verbindung verwenden müssen (https) oder nur die Formularauthentifizierung ist genug.

Wenn Sie https sagen, habe ich einige Fragen:

Ich war Internet der Suche nach Antworten, aber ich war nicht in der Lage, all diese Punkte zu bekommen. Jegliche White Paper oder andere Referenzen wäre auch hilfreich sein.

Fühlen Sie sich frei zu fragen, sofern Sie weitere Informationen benötigen.

Ist SSL und https ein und dasselbe ..

Ziemlich viel, ja.

Muss ich mit jemandem anwenden einige Lizenz oder etwas zu bekommen.

Sie können ein SSL-Zertifikat von einer Zertifizierungsstelle kaufen oder ein selbst signiertes Zertifikat verwenden. Die, die Sie kaufen können variieren wild in Preis - von 10 $, um Hunderte von Dollar pro Jahr. Sie würden eine von denen benötigen, wenn Sie einen Online-Shop, zum Beispiel einrichten. Selbst signierte Zertifikate sind ein gangbarer Weg für eine interne Anwendung. Sie können auch einen von denen, für die Entwicklung nutzen. Hier ist eine gute Anleitung, wie man ein selbst signiertes Zertifikat für IIS einzurichten: Aktivieren von SSL auf IIS 7.0 Verwenden von selbstsignierten Zertifikaten

Muss ich alle meine Seiten gesichert oder nur die Login-Seite machen ..

Verwenden Sie HTTPS für alles, nicht nur die erste Benutzer-Login. Es wird nicht zu viel von einem Overhead und es wird die Daten bedeutet, dass die Benutzer senden / empfangen von Ihrer remote gehostete Anwendung kann von Außenstehenden nicht gelesen werden, wenn sie abgefangen wird. Google Mail stellt sich auch jetzt auf HTTPS standardmäßig.

Welche Art von Geschäftsdaten. Geschäftsgeheimnisse oder einfach nur Sachen, die sie nicht wollen, Menschen zu sehen, aber wenn es bekommt, wäre es kein großes Problem sein? Wenn wir sprechen, Geschäftsgeheimnisse, Finanzinformationen, Kundeninformationen und Sachen, die im Allgemeinen vertraulich sind. Dann gehen Sie nicht einmal diesen Weg nach unten.

Ich frage mich, ob ich eine sichere Verbindung verwenden müssen (https) oder nur die Formularauthentifizierung ist genug.

Benutzen Sie eine sichere Verbindung den ganzen Weg.

Muss ich den Code / Config ändern

Ist SSL und https ein und dasselbe.

Meistens ja. Menschen in der Regel auf diese Dinge als die gleiche Sache beziehen.

Muss ich mit jemandem anwenden einige Lizenz oder etwas zu bekommen.

Sie wollen wahrscheinlich von einer Zertifizierungsstelle das Zertifikat unterzeichnet haben. Es kostet Sie oder Ihr Kunde ein bisschen Geld.

Muss ich alle meine Seiten gesichert oder nur die Login-Seite machen.

Ich war Internet der Suche nach Antworten, aber ich war nicht in der Lage, all diese Punkte zu bekommen. Jegliche White Paper oder andere Referenzen wäre auch hilfreich sein.

Für Business-Daten, wenn die Daten privat würde ich eine sichere Verbindung verwenden, da sonst ein Formularauthentifizierung ausreichend ist.

Ich habe SSL für einen internen Web-Server aktiviert, von OpenSSL und ActivePerl aus diesem Online-Kursus. Wenn dies für ein größeres Publikum verwendet wird (mein Publikum war weniger als 10 Personen) und ist in der Public Domain, schlage ich vor, professionelle Alternativen zu suchen.

Ist SSL und https ein und dasselbe.

Muss ich mit jemandem anwenden einige Lizenz oder etwas zu bekommen.

Muss ich alle meine Seiten gesichert oder nur die Login-Seite machen.

Sobald Ihr Zertifikat für mydomain.com aktiviert jede Seite, die unter * fällt .mydomain.com wird gesichert werden.

4.Do Ich brauche alle meine Seiten gesichert zu machen oder nur die Login-Seite.

Halten Sie einfach die Login-Seite unter https

Dadurch wird sichergestellt, kein Overhead, wenn andere Seiten browsen. die Bedingung ist, dass Sie korrekte Authentifizierungseinstellungen in dem Web-Config zur Verfügung stellen müssen. Dies ist Benutzer zu gewährleisten, die nicht angemeldet sind nicht in der Lage sein, Seiten zu durchsuchen, die eine Authentifizierung benötigen würden.

Wenn Sie mit der Formularauthentifizierung und Standardkontrollen wie gibt es ein paar Dinge müssen Sie, dass nur Benutzer Ihre authentifiziert, um sicherzustellen, tun gesicherten Seiten zugreifen können.

In web.config. unter dem Abschnitt Sie benötigen, um den anonymen Zugriff standardmäßig zu deaktivieren:

Alle Seiten, die anonym zugegriffen werden (wie die Login.aspx Seite selbst) müssen eine Überschreibung haben, die wieder erlaubt den anonymen Zugriff. Dies erfordert ein Element und muß am befinden Ebene (außerhalb des Abschnitt), wie folgt aus:

Beachten Sie, dass Sie auch den anonymen Zugriff auf alle Stylesheets oder Skripte zu ermöglichen, müssen die von den anonymen Seiten verwendet werden:

Beachten Sie, dass der Pfad der Lage Attribut in den web.config Ordner relativ ist und haben kein

/ Präfix, im Gegensatz zu den meisten anderen Pfad-Typ-Konfigurationsattribute.

Versuchen Sie, ein Boot-Verzeichnis in PHP zu machen, wie in

Das ist in erster Linie es!

In Verbindung stehende Artikel

• Wie kommt man HTTPS SSL auf Ihrer Website einrichten - Expert How-To Guides

• Wie umleiten Seite https in PHP-Stack-Überlauf

• Wie kann ich mehrsprachige Website Stack-Überlauf machen