Moin Leute,
habe heute die Zugangsdaten zu meinem Webserver erhalten, ein Powerplus von Strato.
Folgendes Problem:
Ich habe eine Hauptseite, die für den Rest der Welt bestimmt ist und eine kleinere Seite (die über eine subdomain erreichbar ist), für die Mitarbeiter um die Datenbank zu pflegen.
So das "CMS" ist natürlich mit einem Loginbereich ausgestattet.
Index -> validate -> Interner Bereich
Die index ist folgendermaßen aufgebaut:
Keine große Sache, bisschen bla bla und auf der linken Seite ein Formular für UN und PW.
Die Session wird schon auf der index gestartet. Denn ich generiere hier einen zufälligen Token, der 1. in der Session gespeichert wird und 2. über ein hidden feld im Formular mitgegeben wird. (CSRF und so
).
Man gibt sein UN und das PW ein und wird an die validatelogin weitergeleitet
Die Validate ist folgendermaßen aufgebaut:
Zuerstmal wird die Session gestartet. Danach wird loggedIn auf 'false' gesetzt. ein paar überprüfungen (alle felder gesetzt?, $_SESSION['token'] == $_POST['token'] etc). Ist alles cool werden die Daten in
der DB abgefragt. Ist auch hier alles cool, wird LoggedIn auf =true gesetzt und eine weiterleitung über header( location: bla ) erfolgt.
Die internen bereiche sind folgendermaßen aufgebaut:
Überall wird die checklogin includet. Die checkt ob loggedin auf true steht, inaktivitätsprüfung des Users sowie bisschen was gegen Sessionhacks und so
So ich wollte das ganze nun endgültig absichern indem ich ssl einsetzen will (ermöglicht Strato ja).
Folgendermaßen soll (laut strato) die SSL verbindung zustande kommen. Die links in folgende form abändern: ssl-id.de/meineseite.de/bla.php
Ich änder also in der validatelogin den header pfad auf ssl-id.de/meineseite.de/internerbereich.php
Da kommen wir auch schon zu meinem Problem.
Beim ersten eingeben des usernames greift das login scheinbar, ssl startet, aber es öffnet sich nicht der interne bereich sondern nocheinmal die index.php! also muss ich auf der schon ssl geschützten index.php noch einmal UN und PW eingeben und erst dann komme ich in den internen Bereich.
SLL funzt zwar, ich will aber niemand zumuten seine Daten zwei mal eingeben zu müssen!
die session sollte eigentlich mit cookies arbeiten. Ich habe ini_set session.use_only_cookies auf 1 stehen. Dennoch wird nirgends auf meinem Rechner ein cookie der seite hinterlegt, noch dazu komme ich mit deaktivierten cookies trotzdem in den Internen bereich.
Also nochmal zusammengefasst.
1. ich öffne sub.verwaltung.de -> die index öffnet sich, ich gebe UN und PW ein, das script arbeitet
2. es linkt mich an ssl-id.de/verwaltung.de/index.hp -> also nochmal die index nur mit ssl
3. ich gebe genervt nochmal UN und PW ein und siehe da, der login geht.
Woran könnte es liegen, das zuerst nochmal die index aufgerufen wird?
ANMERKUNG:
Im internen bereich include ich ja die checklogin. Diese prüft $_SESSION['loggedin'] = true ?!... Wird beim erfolgreichen login ja auf true gesetzt. Nehme ich diese abfrage raus, funzt das login beim ersten mal! ohne nochmal per ssl an die index verlinkt zu werden.
Ich denke also, es gibt da irgend ein problem, ka mir was.. cookies oder so...
HILFE!
habe heute die Zugangsdaten zu meinem Webserver erhalten, ein Powerplus von Strato.
Folgendes Problem:
Ich habe eine Hauptseite, die für den Rest der Welt bestimmt ist und eine kleinere Seite (die über eine subdomain erreichbar ist), für die Mitarbeiter um die Datenbank zu pflegen.
So das "CMS" ist natürlich mit einem Loginbereich ausgestattet.
Index -> validate -> Interner Bereich
Die index ist folgendermaßen aufgebaut:
Keine große Sache, bisschen bla bla und auf der linken Seite ein Formular für UN und PW.
Die Session wird schon auf der index gestartet. Denn ich generiere hier einen zufälligen Token, der 1. in der Session gespeichert wird und 2. über ein hidden feld im Formular mitgegeben wird. (CSRF und so
).Man gibt sein UN und das PW ein und wird an die validatelogin weitergeleitet
Die Validate ist folgendermaßen aufgebaut:
Zuerstmal wird die Session gestartet. Danach wird loggedIn auf 'false' gesetzt. ein paar überprüfungen (alle felder gesetzt?, $_SESSION['token'] == $_POST['token'] etc). Ist alles cool werden die Daten in
der DB abgefragt. Ist auch hier alles cool, wird LoggedIn auf =true gesetzt und eine weiterleitung über header( location: bla ) erfolgt.
Die internen bereiche sind folgendermaßen aufgebaut:
Überall wird die checklogin includet. Die checkt ob loggedin auf true steht, inaktivitätsprüfung des Users sowie bisschen was gegen Sessionhacks und so
So ich wollte das ganze nun endgültig absichern indem ich ssl einsetzen will (ermöglicht Strato ja).
Folgendermaßen soll (laut strato) die SSL verbindung zustande kommen. Die links in folgende form abändern: ssl-id.de/meineseite.de/bla.php
Ich änder also in der validatelogin den header pfad auf ssl-id.de/meineseite.de/internerbereich.php
Da kommen wir auch schon zu meinem Problem.
Beim ersten eingeben des usernames greift das login scheinbar, ssl startet, aber es öffnet sich nicht der interne bereich sondern nocheinmal die index.php! also muss ich auf der schon ssl geschützten index.php noch einmal UN und PW eingeben und erst dann komme ich in den internen Bereich.
SLL funzt zwar, ich will aber niemand zumuten seine Daten zwei mal eingeben zu müssen!
die session sollte eigentlich mit cookies arbeiten. Ich habe ini_set session.use_only_cookies auf 1 stehen. Dennoch wird nirgends auf meinem Rechner ein cookie der seite hinterlegt, noch dazu komme ich mit deaktivierten cookies trotzdem in den Internen bereich.
Also nochmal zusammengefasst.
1. ich öffne sub.verwaltung.de -> die index öffnet sich, ich gebe UN und PW ein, das script arbeitet
2. es linkt mich an ssl-id.de/verwaltung.de/index.hp -> also nochmal die index nur mit ssl
3. ich gebe genervt nochmal UN und PW ein und siehe da, der login geht.
Woran könnte es liegen, das zuerst nochmal die index aufgerufen wird?
ANMERKUNG:
Im internen bereich include ich ja die checklogin. Diese prüft $_SESSION['loggedin'] = true ?!... Wird beim erfolgreichen login ja auf true gesetzt. Nehme ich diese abfrage raus, funzt das login beim ersten mal! ohne nochmal per ssl an die index verlinkt zu werden.
Ich denke also, es gibt da irgend ein problem, ka mir was.. cookies oder so...
HILFE!
----[Blockierte Grafik: http://www.smilie-harvester.de/smilies/Alltag/putzen.gif] Nein ich bin nicht die Signatur, ich Putz hier nur ---
