https rewrite sichtbar?


CEW4

Member
Hallo,

eine ganz blöde Frage:

"Sieht" der Benutzer eigentlich einen rewrite, der per htaccess durchgeführt wurde?

Konkret: Wenn der Besucher einer Seite die URL "http://seite" ansteuert und dort per htaccess auf SSL umgestellt wird - erscheint dann im Browser des Besuchers "https://seite" oder bleibt das "http" stehen?

MfG
 
Du verwechselst hier rewrite mit redirect - auch wenn beides durch mod_rewrite durchgeführt werden kann.

Ein rewrite ist eine interne Umänderung auf dem Server und kann somit nicht das Protokoll wechseln, sondern nur URI-Komponenten.
Ein Redirect ist eine Meldung an den Browser "geh mal dahin", entsprechend sieht der Besucher dann auch ein https://

Falls allerdings deine Besucher immer mit http:// auf die Seite gehen, kein HSTS vorhanden ist und die Umgebung unsicher ist, so ist https:// auch geschenkt; genau so gut könnte ein potentieller Angreifer sich dann als Proxy dazwischen schalten. Dem Normalanwender fällt eh nicht auf ob er mit https:// oder http:// surft. Ergo: allein mit der Umleitung ist es nicht getan, weitere Techniken sind zum korrekten Einsatz von https zwingend notwendig.
 
Ein rewrite ist eine interne Umänderung auf dem Server und kann somit nicht das Protokoll wechseln, sondern nur URI-Komponenten.
Reicht das denn nicht?

mod_rewrite habe ich so verstanden, als daß der eingehende Request umgeschrieben wird, bevor er vom Webserver behandelt und beantwortet wird. Ändere ich also per rewrite "http" in "https", so sollte der Webserver den Verbindungsaufbau und die folgende Auslieferung der Daten mit SSL durchführen.

Ist das nicht richtig?

MfG
 
URI/URL Komponente ist etwas falsch ausgedrückt. mod_rewrite kann ohne Redirect "nur" Pfad, Query, und Frgamente einer URI intern ändern.

Änderung des Schemas (Protokoll), der Authorität (Domain) oder Ports ist immer ein Redirect und daher transparent für den Client vor allem weil einfach ein neuer Handshake benötigt wird.
Zudem entscheidet der Client was er als Schema anzeigt und ob er es anzeigt, nicht der Server.
Es hat sich z.B. durchgesetzt das http per Default gar nicht mehr angezeigt wird (Chrome/FireFox).

Was geht wäre
http <-> Reverse proxy <-> https
Macht aber keinen Sinn in Bezug auf Sicherheit.
 
Last edited by a moderator:

Back
Top