informazioni https

[aquatimer2000]

ciao a tutti, avrei bisogno di alcune informazioni riguardo https
premetto che conosenza pari a zero sull'argomento, quindi mi scuso già da ora se dico qualche cavolata e se dico cose ovvie:

1) un'area sotto https, dovrebbe essere una directory del webserver protetta con ssl giusto?

2) ho visto tanti siti, che utilizzano l'area https solo per l'esecuzione del login, poi una volta effetuato il login il sistema reindirizza su un'area http.


domanda n. 1):
in base a che criterio posso scegliere di eseguire solo il login nell'area https, oppure far girare tutto l'applicativo nell'area https?


domanda n. 2):
il sistema di login nell'area https, che scriverò in php, ha bisogno di requisiti e/o accorgimenti particolari?
dove posso leggere qualche esemprio o trovare materiale informativo?

Grazie a tutti !

[bubi1]

1) un'area sotto https, dovrebbe essere una directory del webserver protetta con ssl giusto?

Non e' lo stesso concetto di auth basic; il certificato ssl normalmente e' legato al virtualhost (cioe' al dominio). E poi, lo stesso file dalla stessa cartella lo puoi servire sia via http che via https.

domanda n. 1):
in base a che criterio posso scegliere di eseguire solo il login nell'area https, oppure far girare tutto l'applicativo nell'area https?

Uno degli impieghi del https e' la protezione dei dati scambiati tra il browser ed il server da un eventuale intercettazione (man in the middle). Quindi serve per proteggere vari dati che l'utente sta scambiando col sito (login, password, carte di credito, altri dati sensibili) .
Se invece devi far vedere all'utente un testo pubblico, l'https non e' necessario (il che non vuol dire che non lo puoi utilizzare lo stesso)

domanda n. 2):
il sistema di login nell'area https, che scriverò in php, ha bisogno di requisiti e/o accorgimenti particolari?

Niente di particolare, fai la stessa cosa come sempre. Ricordati solo che i secure cookie impostati via ssl devono avere un apposito parametro. E ricordati che il secure cookie non e' leggibile via http. Quelli che fanno solo il login via https probabilmente lo fanno per inviare user/pass in modalita protetta, poi mettono un cookie normale.
E poi stai attento agli indirizzi dei vari stili/script/immagini, se alcune cose su una pagina provvengono da http e altre da https, il browser segnalera' all'utente errori vari.
E ricorda sempre che https non e' altro che una criptazione dei dati scambiati; se la tua applicazione ha dei buchi di sicurezza, https non ti puo' salvare.

[aquatimer2000]

intanto grazie per le prime info:

comunque ti spiego meglio cosa devo fare:

un'applicativo, dove gli utenti, tramite accesso user/password, possono leggere/rispondere ai messaggi inviati dall'amministratore del sito.

i contenuti non sono "sensibili" nel senso che non transitano dati relativi a carte di credito o dati personali ecc.

un po' tipo i messaggi pvt di questo forum...

considera che ora come ora ora il sito conta 100 visite di utenti diversi al giorno, e gli utenti da registrare saranno un centinaio.

è vero che l'area pubblica del sito è ad un pubblico abbastanza vasto, ma come già detto le visite ora sono molte poche e non so a chi potesse ineteressare andare a leggere i contenuti dell'area riservata.

Io pensavo di eseguire il login sotto https e poi tornare di nuovo sotto http.
Per il resto l'applicativo restituisce solo il testo dei messaggi e registra su database l'orario di lettura del messagio stesso e l'eventuale risposta.

boh... ?!?!?

che mi consigliate?