[todo] [Software 0000758]: http und https besser trennen.

todo-notifyer at hostsharing.net todo-notifyer at hostsharing.net
Thu Mar 15 12:46:12 CET 2007 

Das folgende Problem wurde mitgeteilt. 
====================================================================== 
https://todo.hostsharing.net/view.php?id=758 
====================================================================== 
Berichtet von:              purodha
Zugewiesen an:              
====================================================================== 
Projekt:                    Software
Problem ID:                 758
Kategorie:                  Paketkonfiguration
Reproduzierbarkeit:         N/A
Auswirkung:                 Feature-Wunsch
Priorität:                  normal
Status:                     neu
====================================================================== 
Erstellt am:                15.03.2007 12:46 (CET)
Letzte Aktualisierung:      15.03.2007 12:46 (CET)
====================================================================== 
Zusammenfassung:            http und https besser trennen.
Beschreibung: 
Für Pakete mit https-option wäre es vernünftig, Webserverzugriffe per http
von denen per https sauber separieren zu können, s.a. bug 577.

Dazu schlage ich vor, in der httpd-ssl-Konfig die Verzeichnisse
cgi, htdocs und subs des Domainverzeichnisses durch 
cgi-ssl, htdocs-ssl und subs-ssl
(a) zu ersetzen oder 
(b) optional zu ergänzen.

beigefügt ist je eine modifizierte /etc/httpd-ssl/pacs/dom.template
in der Hoffnung, das die auf h03 aktuell genug war :-) unter
Berücksichtigung der vorgeschlagenen Korrektur aus bug 576. 

In beiden Fällen ändert sich für http-Zugriffe nichts.

Bei http-ssl werden:

- im Fall (a) die Requests aus den *-ssl Verzeichnissen befriedigt. Um den
jetzigen Zustand zu behalten, muss dreimal pro Domain je ein Symlink vom
*-ssl auf das *-Verzeichnis angelegt werden. Nachteil: das muß for dem
Umstellen der Konfig in allen betroffenen Paketen gemacht werden. Vorteil:
Konfig-Dateien bleiben praktisch gleich groß; werden häufig die
Verzeichnisse tatsächlich getrennt, läuft es etwas schneller, als (b)

- im Fall (b) schaut der Webserver zuerst nach den *-ssl Verzeichnissen.
Gibt es eines nicht, wird das entsprechende Verzeichnis ohne -ssl
genommen. Nachteil: Größere Konfig-Files, der Webserver tut minimal mehr
pro Request. Vorteil: keine Änderungen im Dateisystem notwendig.

Ich hatte keine Möglichkeit, die vorgeschlagenen dom-ssl.template Dateien
zu testen.
====================================================================== 

Problem-Historie 
Änderungsdatum  Benutzername   Feld                     Änderung             
====================================================================== 
15.03.07 12:46  purodha        Neues Problem                                
======================================================================

More information about the Todo mailing list