Vor ein paar Tagen bekamen wir den Hinweis, dass die Übermittlung der Inhalte aus Kontaktformularen auf Webseiten nur noch verschlüsselt erfolgen sollte. Zwei Links gab es auch gleich noch mit dazu, in denen zu lesen war, dass man als Betreiber von Webseiten durchaus auch eine Abmahnung riskiert, wenn man weiterhin eine Übermittlung per http-Protokoll zulässt.
Daraufhin hatte ich dann mit diversen Basteleien begonnen. Wenn man kurz über die Problematik nachdenkt, wird einem unmittelbar klar werden: Eigentlich braucht man gar nicht erst nur mit einzelnen Seiten anzufangen. Auch sämtliche Kommentarfunktionen oder Adresssuchen müssen auf diese Weise geschützt werden. Schließlich werden ja auch dabei personenbezogene Daten übermittelt.
Meine erste Idee war, einfach alle Post-Requests per Apache Rewrite auf https:// umzusetzen. Mit dem HTTP-StatusCode ‚307‘ am redirect-Flag ( [R=307] ) werden auch die POST-Daten ordnungsgemäß übergeben und im ersten Test entstand ein korrekter Kommentar.
...
RewriteCond %{HTTPS} !=on
RewriteCond %{REQUEST_METHOD} POST
#RewriteRule ^/(.*)$ https://%{SERVER_NAME}/$1 [R=301,L]
RewriteRule ^/(.*)$ https://%{SERVER_NAME}/$1 [R=307,L]
... |
Aber werden dadurch, bevor das Redirect wirkt, wirklich keine Daten per http:// übermittelt? Ein (zweiter) tcpdump-Test zeigte schnell, dass das natürlich nicht so ist. Alle Felder des Kommentars werden erst einmal per http übermittelt und erst dann bekommt der Client sein ‚307‘ zurück. Dann sind die Daten aber schon nicht mehr vertraulich und einmal durch die Weltgeschichte geblasen.
Damit ist dieser Weg also eher eine Sackgasse, wenn auch eine interessante. ;)
Ein paar Tage später fand ich für mein WordPress-Blog eine bessere Lösung; Ich bastelte mir ein Snippet, welches alle „Action“-URLs in den relevanten Formular-Aufrufen in eine https://-Adresse umwandelt. Nun werden auch von Seiten die per http aufgerufen sind, keine POST-Daten mehr in Klarschrift übermittelt.
Hinterlasse einen Kommentar