mod_rewrite und die falsche SSL-Sicherheit

10.03.2011 yahe administration legacy linux security windows

Immer wieder kommt es mir unter die Augen: Administratoren, die sich mit der von ihnen betreuten Software nicht auskennen und SSL für eine Anwendung benötigen, die überhaupt nicht für die Verwendung von SSL ausgelegt ist. Häufig wird in solchen Situationen beherzt und völlig ahnungslos auf eine Lösung auf Basis des Apache-Moduls mod_rewrite zurückgegriffen. Solche Lösungen sehen dann meist wie diese aus:

RewriteEngine On 
RewriteCond   %{SERVER_PORT} 80 
RewriteRule   ^(.*)$ https://www.example.com/$1 [R,L]

Was soll schon passieren? Es funktioniert doch wie es soll? Fall erledigt, denkt sich zumindest der unbedarfte Administrator. Diese Aussage sollte er sich allerdings zweimal überlegen, denn sie hat einen gravierenden Fehler: die Software.

Wenn man sich Software wie z.B. WordPress anguckt, dann fällt einem eine Sache auf: Auch für Links, die auf andere Bereiche der gleichen Seite zeigen, werden vollständige URLs generiert - inklusive der Protokollbezeichnung. Das heißt, dass jedes Mal, wenn man einen Link anklickt, eine Anfrage per HTTP an den Server gesendet wird. Dieser sieht, dass er auf HTTPS umlenken soll und tut das dann auch entsprechend.

Doch bei jedem dieser Aufrufe werden bereits alle Informationen unverschlüsselt übertragen, egal, ob Cookies, URL-Parameter, oder Formularinhalte. Es werden lediglich die vom Server verschickten Informationen immer verschlüsselt. Die Daten, die der User versendet, gehen jedes Mal doppelt über die Leitung, einmal unverschlüsselt und einmal verschlüsselt.