Hallo Martin, hallo Leute, Am Freitag, 28. Oktober 2005 07:45 schrieb Martin Hochreiter:

Ich benutze für einige Webapplikation die Apache2 Authentifizierung (Authtype Basic) - kann ich nur diese SSL verschlüsseln und den Rest der Webapplikation ohne laufen lassen?

Guck Dir mal an, wie die Authentifizierung in der Praxis abläuft, und schon wirst Du diese Idee wieder vergessen. In Kürze: Beim Zugriff auf einen passwortgeschützten Bereich liefert Apache erstmal den Statuscode 401 Unauthorized. Als Reaktion darauf öffnet der Browser ein Fenster zur Eingabe von Benutzername und Passwort. Mit diesen Daten fragt er erneut beim Apache an und bekommt (falls die Zugangsdaten stimmen) die gewünschte Seite geliefert (z. B. mit 200 OK). http ist ein "zustandsloses" Protokoll, d. h. es unterstützt von Haus aus keine Sessions. Deshalb werden bei der Anforderung weiterer Dateien *jedesmal* Benutzername und Passwort mitgeschickt (der Browser cacht diese). Genau das ist auch der Grund, warum Du komplett auf https bleiben solltest. Alternative: verwende einen session-basierten Login (z. B. per PHP). Dabei werden die Logindaten nur _einmal_ übertragen. Bei folgenden Anfragen an Apache wird dann nur die Session-ID mitgeliefert, der Rest wird Apache/PHP-seitig gecacht und geht nicht mehr über die Leitung. Sollte jemand die Session-ID ausspionieren, bekommt er nur/immerhin Zugriff auf die laufende Session (welchen Schaden dabei entstehen kann, hängt vom Anwendungsfall ab) Idealerweise sollte man auch mit Sessions auf https bleiben, damit niemand die Session-ID ausspionieren kann. Gruß Christian Boltz -- [Fontsammlung] Das verursacht gewisse Probleme im Dateisystem. [...] Wenn man bei "find" nicht aufpasst, fliegt ein kleiner Festplatten- Helikopter zur Tür raus... [Ratti in suse-linux]