Hi,
gibt es irgendeine möglichkeit zuverlässig mit php zu ermitteln, ob eine ssl verschlüsselung verwendet wird oder nicht?

*MFG*

Hallo,

schau doch einfach in den Umgebungsvariablen nach. U.A. sollte es da eine Variable HTTPS geben die auf on steht.

Zitat von fiasko:

Hallo,

schau doch einfach in den Umgebungsvariablen nach. U.A. sollte es da eine Variable HTTPS geben die auf on steht.

kann ich in meiner phpinfo nix finden... sowas wie &SERVER_HTTPS oder $HTTP_HTTPS?

Hi,

$_SERVER['HTTPS'] sollte funktionieren, wobei folgendes aus dem PHP-Manual beachtet werden sollte:

$_SERVER ist ein Array, in dem Informationen über Header, Pfade oder den Speicherort des Skripts gespeichert sind. Die Einträge dieses Arrays werden vom Webserver generiert. Es gibt keine Garantie, dass jeder Webserver alle diese Einträge erzeugt. Manche Server werden Einträge auslassen oder andere einfügen, die hier nicht aufgeführt sind. Ein grosser Teil dieser Variablen stammt aus der CGI 1.1 Spezifikation.

Deshalb gibt deine phpinfo wohl auch nichts darüber aus...

ok, gibts bei mir nicht, habe aber ein kleines workaround für mich: wenn meine site ssl verschlüsselt ist, wird sie über einen anderen server geladen, und der steht in $_SERVER["HTTP_X_FORWARDED_HOST"]. den kann ich überprüfen und wenn es der sslhost ist weis ich, dass eine verschlüsselung aktiv ist.
frage lass ich mal offen, da ja noch nicht wirklich geklärt ist sozusagen eine nicht mehr wichtige offene frage

Schau doch einfach in die PHP Variable $_SERVER["SERVER_PORT"], bei HTTP ist das in der Regel Port 80 und bei SSL 443.

Gruß,
Marcel

Zitat von Marcel Gascoyne:

Schau doch einfach in die PHP Variable $_SERVER["SERVER_PORT"], bei HTTP ist das in der Regel Port 80 und bei SSL 443.

Gruß,
Marcel

nope, istbei mir beides mal 80 ?! aber wie gesagt, ein workaround habe ich ja schon, zumindest eins das bei mir geht

Zitat von Meflin:

nope, istbei mir beides mal 80 ?! aber wie gesagt, ein workaround habe ich ja schon, zumindest eins das bei mir geht

Dann ist es keine SSL-Verbindung auf dem Rechner wo Dein PHP Skript läuft! Wie Du in Deinem Workaround geschrieben hast wird Deine Seite über einen anderen Server geladen. Du hast in diesem Fall keine SSL-Verbindung sondern nur einen SSL Proxy für eine normale HTTP Verbindung. Dieses Konzept würde ich dringend nochmal überdenken falls Du sensible Daten übertragen willst.

Gruß,
Marcel

Zitat von Marcel Gascoyne:

Zitat von Meflin:

nope, istbei mir beides mal 80 ?! aber wie gesagt, ein workaround habe ich ja schon, zumindest eins das bei mir geht

Dann ist es keine SSL-Verbindung auf dem Rechner wo Dein PHP Skript läuft! Wie Du in Deinem Workaround geschrieben hast wird Deine Seite über einen anderen Server geladen. Du hast in diesem Fall keine SSL-Verbindung sondern nur einen SSL Proxy für eine normale HTTP Verbindung. Dieses Konzept würde ich dringend nochmal überdenken falls Du sensible Daten übertragen willst.

Gruß,
Marcel

zwischen dem client rechner und dem ssl proxy ist die verbindung aber verschlüsselt, zwischen dem proxy und dem server weis ich es nicht. allerdings ist es doch eher der fall dass die verbindung vom client zum ssl proxy abgehört / gehackt wird, nicht die vom proxy zum server, und somit wäre ja alles in ordnung. über die genauen verbindungsvorgänge bin ich allerdings erlichgesagt nicht informiert.

Zitat von Meflin:

allerdings ist es doch eher der fall dass die verbindung vom client zum ssl proxy abgehört / gehackt wird, nicht die vom proxy zum server, und somit wäre ja alles in ordnung. über die genauen verbindungsvorgänge bin ich allerdings erlichgesagt nicht informiert.

Du bewegst Dich da aber auf sehr dünnem Eis wenn Du über die Vorgänge nicht genau bescheid weisst und einfach mal vermutest das es sicher ist... Ich hätt da schlaflose Nächte wenn ich für so ein System verantwortlich wäre.

PS: Als Hacker hänge ich mich vor den Server der mich interessiert und horche dort alle Verbindungen ab, alles andere macht ja keine Sinn.

Gruß,
Marcel