Ønsker å kryptere Joomla pålogging (SSL)

Sikkerhet i Joomla - og tilhørende elementer som server etc.

Moderators: Per Yngve Berg, sone12

Locked
User avatar
datatrond
Joomla! Explorer
Joomla! Explorer
Posts: 301
Joined: Wed Feb 28, 2007 2:46 am
Location: Oslo, Norway
Contact:

Ønsker å kryptere Joomla pålogging (SSL)

Post by datatrond » Tue May 08, 2007 3:43 pm

Jeg er bekymret for å sende brukerpålogging i klartekst, og ønsker å implementere SSL for pålogging av alle brukere.
Noen som har erfaring med dette og har testet det ut i praksis med Joomla?
Hva er deres erfaring med dette, og hvilke feller kan jeg gå i ved å implementere SSL for brukerpålogging?

Håper noen kan gi noen gode råd!

Trond :-)
Personal blog (Norwegian language): http://www.trondlyngbo.no
Work: https://searchplanet.no

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4785
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by rued » Tue May 08, 2007 3:55 pm

Har du kikket på posten og lenken rett nedenfor ditt innlegg:
http://forum.joomla.org/index.php/topic,165919.0.html - ingen hjelp der?

Sikkerhet er noe norske nettsteder ikke er så flinke, eller nøye med - dessverre. :)
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no

User avatar
jenscski
Joomla! Ace
Joomla! Ace
Posts: 1468
Joined: Thu Aug 18, 2005 6:58 am
Location: Tønsberg, Norway

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by jenscski » Tue May 08, 2007 5:04 pm

Webhotellet ditt må også støtte https for at du skal kunne benytte SSL
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/

User avatar
datatrond
Joomla! Explorer
Joomla! Explorer
Posts: 301
Joined: Wed Feb 28, 2007 2:46 am
Location: Oslo, Norway
Contact:

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by datatrond » Mon May 14, 2007 7:52 am

Kikket på posten og leste gjennom innholdet i linken, og det første som slår meg er at dette (Kryptering) ikke er standard funksjonalitet. Dette burde være et krav for en hver slik løsning, men slik jeg forstår det så er dette noe av det nye som kommer i neste versjon av Joomla?

Jeg koblet opp WinPCap'en min med Whireshark (Ethereal) og scannet fra en annen maskin via trådløst, og fanget opp både brukernavn og passord til Admin konto for mitt webområde på et par sekunder, og dette er rett og slett ikke godt nok- i en moderne web basert løsning.

Ville jo være forferdelig leit dersom noen uvedkommende fikk adgang til deres Joomla siter og begynte å legge ut ukorrekt informasjon.

Med min bakgrunn innen (u)sikkerhet hvor jeg også underviser i "Etisk Hacking", så har jeg kanskje en høyere grad av paranoia - fordi jeg vet hvilke muligheter som finnes, og personlig så mener jeg at man undervurderer risikoen ved dårlig sikkerhet - ikke bare via Joomla, men jevnt over det hele.

Ser frem til å kunne gå i et kundemøte og fortelle om innebygget støtte for SSL kryptering av pålogging i Joomla!
Jeg har en del kunder innen olje og energi bransjen, og noen av dem er børsnoterte. I deres situasjon så har man ofte god oversikt over fordeler / ulemper, og man har gjerne krav som må følges, og da gjerne med stor fokus på sikkerhet.
En oppegående IT-sjef vil "rygge" man dersom man presenterer en løsning uten kryptering av brukernavn og passord. Særlig for Admin konto.

Jeg venter i spenning :-)

Med vennlig hilsen
Trond
Personal blog (Norwegian language): http://www.trondlyngbo.no
Work: https://searchplanet.no

User avatar
jenscski
Joomla! Ace
Joomla! Ace
Posts: 1468
Joined: Thu Aug 18, 2005 6:58 am
Location: Tønsberg, Norway

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by jenscski » Mon May 14, 2007 8:02 am

datatrond wrote: Ser frem til å kunne gå i et kundemøte og fortelle om innebygget støtte for SSL kryptering av pålogging i Joomla!
Innebygget støtte for SSL vil du jo aldri få, for det er jo selve webserveren som må støtte https, men Joomla! må også støtte nettadresser av typen https://. Noe som både Joomla! 1.0.12 og J! 1.5 skal støtte(har ikke testet selv).
Jens-Christian Skibakk
MMS Blog - http://mms.pipp.no/
Joomla! i Norge / Joomla! in Norway - http://www.joomlainorge.no/

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4785
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by rued » Mon May 14, 2007 8:16 am

Stemmer..

Joomla! støtter SSL, men ikke dynamisk.
Det vil si at man kan uten problem kjøre hele siden over https ved å angi dette i konfigurasjonen, men man kan ikke uten videre kjøre både http for gjester og https for innlogging - det krever modifisering.
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no

User avatar
datatrond
Joomla! Explorer
Joomla! Explorer
Posts: 301
Joined: Wed Feb 28, 2007 2:46 am
Location: Oslo, Norway
Contact:

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by datatrond » Mon May 14, 2007 8:17 am

Takk for raskt svar!
Jeg formulerte meg muligens litt dårlig - men tror jeg vet hvor jeg skal begynne nå.
Skal teste dette ut når jeg kommer litt lenger ut i prosjektet :-)
Hadde vært artig å utveksle litt ideer og erfaringer med noen som HAR testet dette selv, så dersom det finnes noen der ute, så blir dere veldig populær her dersom dere kontakter meg :-)

Trond
Personal blog (Norwegian language): http://www.trondlyngbo.no
Work: https://searchplanet.no

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4785
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by rued » Mon May 14, 2007 8:46 am

datatrond wrote: Hadde vært artig å utveksle litt ideer og erfaringer med noen som HAR testet dette selv, så dersom det finnes noen der ute, så blir dere veldig populær her dersom dere kontakter meg
Stor sjanse for at du finner noen i det engelske sikkerhetsforumet:
http://forum.joomla.org/index.php/board,267.0.html

Bare søk etter ssl der og kast deg på en tråd om emnet. :)
Last edited by rued on Mon May 14, 2007 8:47 am, edited 1 time in total.
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no

User avatar
rued
Joomla! Virtuoso
Joomla! Virtuoso
Posts: 4785
Joined: Fri Sep 16, 2005 10:23 pm
Location: Finland / Norway
Contact:

Re: Ønsker å kryptere Joomla pålogging (SSL)

Post by rued » Mon May 14, 2007 8:53 am

PS! Se gjerne også FAQ for sikkerhet i Joomla!:
http://help.joomla.org/component/option ... temid,268/

Pluss tråd om sikring av administrasjonen ved hjelp av SSL:
http://forum.joomla.org/index.php/topic ... #msg593630
Last edited by rued on Mon May 14, 2007 9:01 am, edited 1 time in total.
Rune Rasmussen - http://www.syntaxerror.no
Norske nettløsninger og integrasjoner, CONSIGNOR EDI, Mamut ordreimport og produkteksport, kortbetaling og faktura m.m.

Norsk Joomla! - Norwegian Translation Team - http://www.norskjoomla.no


Locked

Return to “Sikkerhet”