Shared-SSL mit Drupal 7
Eingetragen von mabo1972 (91)am 03.01.2013 - 08:43 Uhr in
Hallo zusammen,
ich suche nach einer Lösung Drupal 7 mit einen Shared-SSL-Zertifikat (ssl-proxy) wie es z.B. bei meinen Hoster all-inkl zur Verfügung gestellt wird zum Laufen zu bringen. Die Lösung auf Drupal.org scheint leider nur mit Drupal 6 zu funktionieren. Mir ist bewusst, daß ich die Probleme mit einen auf die Domain ausgestellen Zertifikat beseitingen kann aber vielleicht kennt ja jemand von euch die Lösung ;-)
VG mabo
- Anmelden oder Registrieren um Kommentare zu schreiben
Würd ich auch gerne...
am 09.01.2013 - 11:40 Uhr
Hallo mabo,
hast Du schon was gefunden? Ich hab hier gerade das gleiche Problem... melde mich wenn ich was finde.
Liebe Grüße
Anna~
Schon mal mit dem Modul
am 09.01.2013 - 12:24 Uhr
Schon mal mit dem Modul Secure Pages probiert. Da gibt es auch eine Issue zu.
Alles auf SSL per .htaccess...?
am 09.01.2013 - 12:42 Uhr
Hey mabo und alle mod_rewrite-Cracks :-)
In meinem Fall handelt es sich um eine sehr kleine Seite mit wenig Traffic, so dass ich mir überlegt habe, erstmal (bevor sich eine andere Lösung gefunden hat) alles über den SSL-Proxy laufen zu lassen. Das wird als Option ganz unten in diesem hübschen Artikel (englisch) beschrieben, inklusive Code.
Nun ist es in meinem Fall so, dass sich die Seite in einem Unterverzeichnis befindet. Mein Code sieht so aus:
# Modify the RewriteBase if you are using Drupal in a subdirectory or in a
# VirtualDocumentRoot and the rewrite rules are not working properly.
# For example if your site is at http://example.com/drupal uncomment and
# modify the following line:
# RewriteBase /d7c
#
# If your site is running in a VirtualDocumentRoot at http://example.com/,
# uncomment the following line:
# RewriteBase /
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://ssl.webpack.de/meinedomain.de/d7c/$1 [R,L]
php_value session.cookie_secure 1
Nun scheint es eine Endlosschleife zu geben... was ich nicht verstehe. Ich gebe sofort zu, dass ich rewritemäßg eine ziemlich ahnungslos herumstümpernde Nase bin - ich hab da schon oft mit rumgemacht, aber es ist wie Schachspielen (kann ich auch nicht): irgendwie denkt mein Kopf nicht kompatibel. Mag mich jemand auf den Denkfehler bringen?
Vielen Dank schonmal fürs Mitdenken und Klügersein
Anna~
bisschen veraltet scheint mir...
am 09.01.2013 - 12:54 Uhr
Hey Sense,
hab mir Secure Pages schon angeschaut. Das Modul beschäftigt sich hauptsächlich mit der Mixed Mode-Thematik, bietet aber keine einfache Möglichkeit für SSL-Proxies. Der von Dir verlinkte Issue Thread ist leider auch schon sehr alt, und alle dort geposteten Lösungen sind für Drupal ~5...
Es gibt auch für Drupal 6 eine Lösung, nur wie mabo schon geschrieben hat, funktioniert sie nicht für Drupal 7.
Gruß
Anna~
Hallo ich hab vielleich nun die Lösung
am 13.03.2013 - 11:25 Uhr
im Prinzip ist es diese Lösung auf drupal.org.
In meinen Fall (Hoster all-inkl) bekam ich immer eine Meldung wegen eines nicht definierten Indexes "HTTP_X_FORWARDED_HOST....."
Ich benutze zusätzlich das Modul "securepages".
Hier der Ausschnitt aus meiner settings.php
$request_type = (getenv('HTTPS') == '1' || getenv('HTTPS') == 'on' || !empty($_SERVER['HTTP_X_FORWARDED_HOST'])) ? 'SSL' : 'NONSSL';if($request_type!="SSL"){
; // NOTHING because it is a non https -request
}
else {
$base_url = 'https://ssl-account.com/eigene-domain.de'; // NO trailing slash!
$cookie_domain = 'ssl-account.com';
$_SERVER['HTTPS']='on';
$_SERVER['REQUEST_URI']='eigene-domain.de'.$_SERVER['REQUEST_URI']; // Only the DNS name of the site needed here!
$conf = array(
'reverse_proxy' => TRUE,
'reverse_proxy_addresses' => array($_SERVER['REMOTE_ADDR']),
);
}
Gruß
mabo
.. weitegehend / um diesen Punkt herum
am 06.07.2013 - 19:02 Uhr
Hallo Ihr,
der Thread ist zum wieder hochholen hoffentlich nicht zu alt.
Hallo mabo1972 - mit SecurePage habe ich nicht weiter probiert, wegen "Bilder-Frage" und daraus folgendem.
Ich bin in einer Testumgebung drupal 7.22 auf den Gedanken gekommen, mit dem Anbieter Hosteurope und deren shared ssl / ssl-proxy dies und jenes zu probieren.
Es entstand die Frage, "auf ..einache.. Weise eine drupal-seite in eine Facebook-Page einbinden als Tab (Button)".
Facebook "erlaubt" solches einbinden externer Seiten in Pages nur noch via "htpps" bzw. ssl - woraus sich für mich irgendwann anbot, bei einfachen Anforderungen Hosteurope oder einen anderen Anbieter (eine andere Möglichkeit) zu nehmen mit "shared ssl / ssl proxy", um kostengünstig diese Facebook-Sache "erfüllen" zu können.
So bin ich in diesem Thread gelandet. Problem war auch, dass Links sich beim ssl-proxy doof verhielten. Bei Hosteurope ist es mit ssl-proxy ja so getan, dass es via "ssl.webpack.de/domain.tld/node/9" (oder so) geht. Gesagt, getan, einzig die weitere Navigation ging nicht innerhalb Drupal. Drupal liess sich aufrufen, aber aus "ssl.webpack.de/domain.tld/node/9" wurde "ssl.webpack.de/node/9". Soweit wurde es "geloest", dass es auch mit shared-ssl / ssl-proxy geht innerhalb der settings.php --- Soweit wiederholend auf den Punkt kommend:
Es wurden einige Bilder nicht mehr angezeigt, hochgeladene, aus eigenem theme händisch eingebaute und andere - zwar vorhanden und treffend adressiert (quelltext), aber keine Anzeige. Grob gefasst geht es in die Richtung, wie drupal Bilder handelt bei einer Anfrage beziehungsweise mit Tokens versieht. Es gibt ja Bildstile, diese werden geholt, geliefert - ganz einfach umschrieben und vielleicht auch falsch beschrieben. Jedenfalls wollte nun drupal bei mir partout keine "bilder-derivate" ausliefern wenn es über ssl-proxy geht (und scheinbar gibt es auch andere mit echten Zertifikaten, die dieses Problem haben).
Es gibt eine Lösung, die ich gefunden habe und zwar via
$conf['image_allow_insecure_derivatives'] = TRUE;(siehe auch Modul: Image Allow Insecure Derivatives - entsprechende Bilder werden ausgeliefert, die vorher nicht geliefert wurden.
ABER, dann hier Sicherheitsaspekte zu drupal mit insecure-derivates, siehe auch (und andere) drupal.org: Allow sites using the 'image_allow_insecure_derivatives' variable to have partial protection from the Drupal 7.20 security issue
Und hier meine Fragen:
- Kennt jemand von euch ähnliches, dass es Probleme mit der Anzeige von Bildern gibt wie beschrieben bei Verwendung von ssl, ssl-proxy?
- Gibt es einen anderen Weg / Workaround drupal im Rahmen von ssl-proxies / shared ssl oder ssl an sich dazu zu bringen, "insecure" Bilder auszuliefern?
Ich habe es nur auf diesem Weg lösen können, Bilder anzeigen zu lassen, die da sind (Quelltext ok, Link aus Quelltext von Bildern auch direkt aufrufbar copy&paste, aber nicht auf Seite angezeigt bei in diesem Fall ssl.webpack.de/usw). Vielleicht mag es sein, daß für kleiner Projekte (oder auch an sich?) die Frage von solchen Attacken wie beschrieben im letzten Link nicht soo wichtig erscheinen mag oder scheinbar einige mit drupal-installationen es einfach machen und abwarten.Sprich, wenn denn dann auf eine "kleine" Seite so eine Attacke kommt, ist eh zu spät und Kontakt zum Hoster gefragt, wenn es eben kein eigener Server ist sondern Webspace auf nem shared mit anderen.
? Hoffe ich konnte deutlich machen, wo meine Fragen liegen. Es funktioniert ja - navigieren ist möglich, Bilder werden angezeigt und so. Nur diese Sicherheitsfragen machen mich nachdenklich und diesen Beitrag schreiben.
Fröhliche Grüße in den Abend und das Wochenende - j.r.
Hallo kifuzzy, habe fast das
am 24.07.2013 - 08:17 Uhr
Hallo kifuzzy,
habe fast das gleiche Problem, bei mir werden die Stylesheets und Bilder nicht geladen, habe zwar dieses Modul installiert und den Code in die Settings.php eingetragen, jedoch ohne Erfolg.
Weisst du noch evtl. andere Lösungen?