Posts by f4Nm1Z9k2P

Sorry, ich lag grad selbst falsch. Kapitel 2 ist hier wichtig.

Quote from RFC 2617

A client SHOULD assume that all paths at or deeper than the depth of the last symbolic element in the path field of the Request-URI also are within the protection space specified by the Basic realm value of the current challenge.

Wenn du mittels der Direktive AuthName "Namen hier einfügen" jJedem der Ordner ein eigenes "realm" zuweist, sollte der Browser wissen, bei welchem Aufruf er welches Passwort schickt. Ich habe leider nicht gefunden, welcher Browser das richtig tut. Bei HTTP Digest Auth kann man auch per Direktive festlegen, welche Ordner zu welcher "domain" gehören.

Quote from andy-lu

Jedoch weil ich die Passwörten inkl. User gespeichert habe und dann zwischen den "Ordnern" switche wird jedesmal soein Eintrag in die error.log geschrieben.Weiss jetzt nicht genau an was das liegen könnte.

Ja, das ist so. RFC 2617, 3.2.1

Wenn ihr mysqldump das Passwort in der Kommandozeile übergebt, kann jeder Nutzer des Servers das Passwort zur Laufzeit des Skripts ganz leicht per ps aux | grep mysql herausfinden. Besser ist es, eine my.cnf zu benutzen.

netstat -tulpen | grep 12345

A+ bekommt man, wenn man HSTS aktiviert.

Dazu haut man folgendes in die /etc/apache2/imscp/DOMAIN.TLD.conf (oder erstellt sich noch besser einen passenden listener).

Header always set Strict-Transport-Security "max-age=31536000"

Die Seite die du mir gegeben hast liefert ein Zertifikat von Comodo

Die Certs sind dort mit SHA-2 unterschrieben.

Quote from andy-lu

Kommt auf das gleiche raus wie der Chipser der von mir gepostet wurde, ssllab auch A.

Wenn der von dir gepostete String bei SSLLabs zu einem Rating von A führt, dann hast du die Direktive SSLCipherSuites eventuell doppelt gesetzt. RC4 gibt einen Malus. Ganz sicher.

Quote from andy-lu

Hast du für mich vielleicht einen besseren Chipser-Satz?

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
https://wiki.mozilla.org/Security/Server_Side_TLS

Bist du dir sicher, dass du den apache nach dem Ändern neu gestartet hast? Die direktive aktiviert nämlich RC4 und das gibt bei ssllabs aus gutem Grund nur noch die Note B.

Mir gefällt dein String auch nicht, da Camellia und Seed aktiviert werden, was die Seite kein bißchen kompatibler macht, aber zusätzliche Algorithmen hinzufügt, was die Sicherheit nur verringern kann. Warum die Cipher order nicht passt verstehe ich grad auch nicht ganz. Vielleicht liegt es daran, dass du Leerzeichen statt Doppelpunkten nutzt.

Die cipher order änderst du über die direktive SSLCipherSuite. Ist das die, die du vorhin gepostet hast?

Dann habe ich wohl zufällig genau auf den Link geklickt, der zu Mixed-Content führt. Siebter Sinn für sowas ;-P