SSL und HP

[bonsai]

Gibt es eigentlich eine Möglichkeit, die Seite per SSL weiterlaufen zu lassen, wenn sich ein Kunde angemeldet hat.
Also folgendes:
"Normal" auf HP unterwegs (per http)
Anmelden (egal ob Neukunde oder bestehend) - Hier immer noch über http
Die Kundendaten werden auch nur per http gespeichert

Erst wenn ich ein Produkt in den WaKo lege und über die Kasse gehe werde ich über https weitergeleitet.

Was mich daran stört - die Kundendaten (egal ob Neukunde oder bestehender) werden unverschlüsselt übergeben. Das ist doch nicht Sinn und Zweck von SSL. Oder sehe ich das hier verkehrt?

[mmaass]

Wenn wir den Kunden nur den Shop installieren lassen, wenn er ein SSL Zertifikat hat, dann würden wir wahrscheinlich kaum Kunden haben.

Ist ein SSL Zertifikat vorhanden, brauchst Du nur in der conf/config.inc.php das SSL_CHECKOUT auf 1 setzen. Dann wird ab der Checkoutroutine alles gesichert, wie es sein sollte.

[bonsai]

Wenn wir den Kunden nur den Shop installieren lassen, wenn er ein SSL Zertifikat hat, dann würden wir wahrscheinlich kaum Kunden haben.

Das ist mir schon klar.

Ist ein SSL Zertifikat vorhanden, brauchst Du nur in der conf/config.inc.php das SSL_CHECKOUT auf 1 setzen. Dann wird ab der Checkoutroutine alles gesichert, wie es sein sollte.

Das stimmt nicht so ganz wie ich das gemeint habe. Das funktioniert nur, wenn jemand was bestellt. Wenn ein Kunde sich "nur" anmelden möchte und nichts bestellt (zb eine Bewertung abgeben möchte), muss er ja auch seine Daten eingeben. Dabei läuft die Eingabe der Daten nicht über SSL. Auch das "normale" anmelden (zb seinen Merkzettel ansehen) mit Mail und PW läuft auch nicht per SSL.
Also sollte dort schon mal etwas nachgebessert werden!!

[Magnus]

Hi Bonsai,

gut dass du das so aufmerksam angesehen hast. Das sollte man sich tatsächlich noch mal genauer ansehen.
Auch wenn insgesamt das Zertifikat nicht die Sicherheit bietet, die allgemein so angenommen wird.

viele Grüße

magnus

[mmaass]

Achso, Du meinst schon ein Stück früher, dass wird etwas umfangreicher aber ist notiert.

[bonsai]

Bei der Eingabe der (persönlichen) Daten sollte die Sicherheit schon greifen.
Wenn ich auf der Startseite rechts oben (oder unten im Footer in "meine Daten") auf Login oder Neuanmeldung klicke kann oder soll der Kunde ja seine Daten eingeben. Und egal was er danach macht, das sollte schon mit etwas mehr Sicherheit als normal sein und nicht erst bei einem Bestellprozess.
Ich habe mir jetzt erst mal damit beholfen, diese Links umzuschreiben auf https

[bonsai]

So, ich hab mich noch mal damit beschäftigt und (für mich) mal was geschrieben. Wenn andere das auch haben wollen - einfach kopieren .

Wer also ein SSL-Zertifikat hat, möchte ja, dass die Eingabe der persönlichen Daten der/des Kunden (egal ob bei einer Neuanmeldung, der Anmeldung mit Mail und PW oder auch beim PW-vergessen) die Seite dort schon über SSL läuft.
Bisher war es ja so, dass in der config.inc.php das "define(SSL_CHECKOUT, false); auf true geändert werden musste, wenn die Bestellung über SSL laufen sollte. Das SSL setzte aber erst nach der Eingabe der persönlichen Daten ein.
Also habe ich das setzen auf "true" dazu benutzt, eine php-Abfrage um die Anmeldung zu erstellen. Das sieht dann folgendermaßen aus

Code: Alles auswählen

        <?php if($_SESSION["com"] == "true") { ?>
        <?php if(SSL_CHECKOUT == "true") { ?>
            <ul class="meinKonto">
                <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=kundenseite"><?php echo $lang_headline_meinkonto ?></a></li>
                <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=grunddaten&amp;sourceid=9"><?php echo $s_k_nav_meinedaten ?></a></li>
                <li><a href="<?php echo URLPFAD_NOSSL ?>index.php?action=abmelden"><?php echo $s_k_nav_abmelden ?></a></li>
            </ul>
        <?php } else { ?>
            <ul class="meinKonto">
                <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=kundenseite"><?php echo $lang_headline_meinkonto ?></a></li>
                <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=grunddaten&amp;sourceid=9"><?php echo $s_k_nav_meinedaten ?></a></li>
                <li><a href="<?php echo URLPFAD ?>index.php?action=abmelden"><?php echo $s_k_nav_abmelden ?></a></li>
            </ul>
        <?php } } else { ?>
       
            <ul class="meinKonto">
        <?php if(SSL_CHECKOUT == "true") { ?>   
                <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php"><?php echo $lang_kunden_login ?></a></li>
                <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=registrieren&amp;login_source=click"><?php echo $lang_neukunde ?>?</a></li>
        <?php } else { ?>       
                <li><a href="<?php echo URLPFAD ?>themes/user/index.php"><?php echo $lang_kunden_login ?></a></li>
                <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=registrieren&amp;login_source=click"><?php echo $lang_neukunde ?>?</a></li>
        <?php } ?>       
            </ul>
        <?php } ?>

Wer kein SSL-Zertifikat hat, bei dem bleibt halt alles beim alten.

Da aber im Footer ja das gleiche "Problem" besteht, hier auch der Code dafür

Code: Alles auswählen

    <nav class="navigationFooterBox">
    <?php if(SSL_CHECKOUT == "true") { ?>
        <h4><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=kundenseite"><?php echo $lang_headline_meinkonto ?></a></h4>
        <ul>
            <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=grunddaten&amp;sourceid=9"><?php echo $s_k_nav_meinedaten ?></a></li>
            <li><a href="<?php echo URLPFAD_SSL ?>themes/wunschzettel/index.php"><?php echo $s_k_nav_meinwunschzettel ?></a></li>
            <?php if (RECHNUNGSWESEN) { ?>
                <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=bestellungen"><?php echo $s_k_nav_meinebestellungen ?></a></li>
            <?php } ?>
            <?php if (ARTIKELDOWNLOAD) { ?>
                <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=artikeldownload"><?php echo $s_k_navi_artikeldownload ?></a></li>
            <?php } ?>
            <li><a href="<?php echo URLPFAD_SSL ?>themes/user/index.php?action=passwortaendern"><?php echo $s_k_nav_passwortaendern ?></a></li>
            <li><a href="<?php echo URLPFAD_NOSSL ?>index.php?action=abmelden"><?php echo $s_k_nav_abmelden ?></a></li>
        </ul>
    <?php } else { ?>
               <h4><a href="<?php echo URLPFAD ?>themes/user/index.php?action=kundenseite"><?php echo $lang_headline_meinkonto ?></a></h4>
        <ul>
            <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=grunddaten&amp;sourceid=9"><?php echo $s_k_nav_meinedaten ?></a></li>
            <li><a href="<?php echo URLPFAD ?>themes/wunschzettel/index.php"><?php echo $s_k_nav_meinwunschzettel ?></a></li>
            <?php if (RECHNUNGSWESEN) { ?>
                <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=bestellungen"><?php echo $s_k_nav_meinebestellungen ?></a></li>
            <?php } ?>
            <?php if (ARTIKELDOWNLOAD) { ?>
                <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=artikeldownload"><?php echo $s_k_navi_artikeldownload ?></a></li>
            <?php } ?>
            <li><a href="<?php echo URLPFAD ?>themes/user/index.php?action=passwortaendern"><?php echo $s_k_nav_passwortaendern ?></a></li>
            <li><a href="<?php echo URLPFAD_NOSSL ?>index.php?action=abmelden"><?php echo $s_k_nav_abmelden ?></a></li>
        </ul>
    <?php } ?>
    </nav>

Eigentlich gar nicht so schwer und auch nicht so umfangreich wie ich gedacht hatte .

Das ganze sollte aber auch in der cms_index.tpl und kann auch in der checkout_index.tpl übernommen werden.

Bei mir funktioniert das wunderbar und ich hoffe nicht, dass ich Fehler kopiert habe.

Wer sich das mal ansehen möchte, kann unten in der Signatur auf den link der Seite klicken und mich per Kontaktformular anschreiben. Ich schicke dann den Link zu der Seite.

Was ich noch vergessen/übersehen hatte: Auch in der ajax_artikelbewertung.tpl muss die Abfrage dazu. Diese sieht hier dann so aus

Code: Alles auswählen

<?php if($_SESSION["com"] != "true") {?>
      <?php if(SSL_CHECKOUT == "true") { ?>
         <span><a href="<?php echo URLPFAD_SSL?>themes/user/index.php?location=bewertung&bwartikelid=<?php echo $ArtikelID?>"><?php echo $str_anmeldenUndBewerten?></a></span>
      <?php } else {?>
         <span><a href="<?php echo URLPFAD?>themes/user/index.php?location=bewertung&bwartikelid=<?php echo $ArtikelID?>"><?php echo $str_anmeldenUndBewerten?></a></span>
         
      <?php } } else {?>
      
      <?php if(SSL_CHECKOUT == "true") { ?>
         <span><a href="<?php echo URLPFAD_SSL?>themes/kategorie/bewertung.php?artikelid=<?php echo $ArtikelID?>"><?php echo $str_reziSchreiben?></a></span>
      <?php } else {?>
         <span><a href="<?php echo URLPFAD?>themes/kategorie/bewertung.php?artikelid=<?php echo $ArtikelID?>"><?php echo $str_reziSchreiben?></a></span>
      <?php } } ?>

[mmaass]

Ja, direkt in die Templates geht natürlich auch aber können wir in der Entwicklung leider nicht machen.
Auf jeden Fall ein gut kopierbarer Helper für den Anwender, danke.

[Randshoprookie]

Hallöchen,

bin gerade auch bei dem Thema.
Mein Webhoster bietet die Freischaltung von SSL Proxy an.
Dann brauch ich nichts zu ändern im Shop, sondern nur die https Urls verwenden oder
sehe ich das falsch?

LG Piet

[bonsai]

Guten Morgen Piet
da müsstest Du mal dann schauen, wann die Umschaltung/Weiterleitung über SSL auf die Seiten geht, die per SSL geschützt sein sollen. Wie ich schon gesagt habe, sollte das ja auch schon dann funktionieren, wenn ein Kunde sich anmeldet und nicht erst dann, wenn er was bestellt hat.

[Randshoprookie]

Guten Morgen Bonsai ,

ich habe mich dazu ein wenig belesen, und werde komplett umstellen in meinem Relaunch.
Schau mal http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-signal.html
Wäre zwar momentan eventuell nur ein kleiner Vorteil , aber immerhin.....wenns den dann so ist
LG Piet

[olape]

Hallo,

könnte man das Ganze nicht über die .htaccess erledigen, und den Shop ständig über SSL laufen lassen?

Code: Alles auswählen

<IfModule mod_rewrite.c>
RewriteEngine On

RewriteBase /

#Umleitung nach www.

RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTP_HOST} !^$
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]

#Ende Umleitung nach www.

#SSL ein

RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

#Ende SSL ein

Ich habe das mal so eingerichtet und kann bisher noch nichts negatives feststellen.
Allerdings habe ich auch gerade erst angefangen.

Gruss Olaf

[mmaass]

Nein, da die config dann nicht auf https läuft.

Ameinfachsten ist, es einfach in der config zu machen.

Würde statt so:

define(SSL_CHECKOUT, false);
if((strstr($_SERVER['SCRIPT_NAME'], 'bestellen/index.php') || strstr($_SERVER['SCRIPT_NAME'], 'bestellen/auftragsbestaetigung.php')) && SSL_CHECKOUT || $_SERVER['HTTPS']) {
define('PROTOCOL', 'https'); } else {
define('PROTOCOL', 'http'); }

define("URLPFAD", PROTOCOL . "://www.meinedomain.de/");
if(SSL_CHECKOUT) {
define("URLPFAD_SSL", "https://www.meinedomain.de/"); } else {
define("URLPFAD_SSL", "http://www.meinedomain.de/"); }

define("URLPFAD_NOSSL", "http://www.meinedomain.de/");
define("DATEIPFAD", "/Users/");
define("IMAGEPFAD", PROTOCOL . "://www.meinedomain.de/images/");

define("ADMINPFAD", "/Users/");
define("ADMINURLPFAD", PROTOCOL . "://www.meinedomain.de/");

dann so aussehen:

define("URLPFAD", "https://www.meinedomain.de/");
define("URLPFAD_SSL", "https://www.meinedomain.de/");
define("URLPFAD_NOSSL", "https://www.meinedomain.de/");
define("DATEIPFAD", "/Users/undweiter/");
define("IMAGEPFAD", "https://www.meinedomain.de/");
define("ADMINPFAD", "/Users/undsoweiter/");
define("ADMINURLPFAD", "https://www.meinedomain.de/");

[olape]

Danke,

so ist es natürlich von Anfang an korrekt.

Soweit hat es aber auch per htaccess funktioniert.
Also, erstmal das Bewegen im Shop, Kundenregistrierung und -anmeldung.
Artikel habe ich z.Z. noch nicht drin, von daher kann ich das nicht sagen.

Habe es umgestellt nach deinen Vorgaben.

Könnte sich im Laufe der Zeit pos. bemerkbar machen.


Gruss Olaf

[olape]

Hallo,

ohne die Änderung in der htaccess ist, oder kann, der erste Seitenaufruf aber auch ohne SSL stattfinden.
Egal welche Seite. Und wenn es die 404 ist.
Erst wenn man dann irgend einen Link auf der Seite nutzt wird auf SSL umgestellt.


Gruss Olaf