Trotzdem muss doch nicht alles auf dem "Silbertablett" präsentiert werden, oder?
Sofern die Inhalte Deines Boards sooooo geheim sind, daß die keiner lesen soll
Nochmal:
Ob nun session- oder userbezogen die SSL-Verschlüsselung nicht aktiviert sein soll, bedeutet so oder so eine Menge Arbeit am Forum, genau das zu erreichen.
Denn man muss dem Board ja erst einmal beibringen, überall und in allen Stellen des Boards, wo eben Links zum Forum erstellt werden, zu unterscheiden, ob SSL ja oder nein.
Und ich halte das gerade bei der Aufbereitung von Benachrichtungen zu neuen Beiträgen für eher unmöglich.
Beispiel:
Es wird ein neuer Beitrag erstellt und es sind User zu benachrichtigen.
Nun muss der Server-Link an dieser Stelle (und wie gesagt: Es gibt hier "viele" Stellen im Forum, an denen das gemacht werden muss) eben entschieden werden, für welche Session oder welchen User (je nachdem, wie man das einrichten will) eben SSL gelten soll oder auch nicht.
Aktuell passiert das ja nach den Board-Einstellungen, was einfacher geht, da die Angaben global in der $board_config vorhanden sind.
Mit Umstellzung auf Session/User muss das immer mit abgefragt werden und genau hier gibt es dann Probleme:
Wenn sich ein User mit seiner Session per SSL auf dem Board angemeldet hat, würde er auch z. B. SSL-Links per EMail erhalten. Dann könnte es Schwierigkeiten geben, wenn der User aus dem Link das https:// durch http:// ersetzt, daß Cookie und Session-Code nicht mehr dazu passen.
Auch hier wäre viel Arbeit angesagt, genau das zu berücksichtigen.
Anders herum würde das Forum eine neue Session erstellen, wenn vorher ohne und nun mit SSL das Board besucht wurde, was auch wieder zu einem Cookie-Fehler führen kann.
Ergo:
Abgesehen von der mords Arbeit, hier geziehlt in die vorhandenen Sessions einzugreifen, und das im schlimmsten Fall durch alle Scripte des Boards hindurch(!), müsste man nach meinen Wissen vorhandene Cookies erst löschen, bevor ein Session-Wechsel mit und ohne SSL sauber vollzogen werden kann.
Die Folge wären ggf. Verluste der neuen Beiträge (wenn man keine MODs wie den UPi2DB verwendet) und man müsste auch jedesmal das Login bedienen.
Ich weiß nicht, ob das wirklich soooo viel Sinn macht, wenn eben User dabei sind, die SSL nicht bedienen können, weil z. B. die Ports gesperrt sind.
Und mal unter uns:
Wenn ich den SSL Schlüssel nicht schnell genug knacken kann, melde ich mich einfach am Forum an und spiele zunächst "guter Junge". Bin ich dann nach der Reg. drinnen, habe ich auch alles, was ich will
Eine von vielen Möglichkeiten, ein Forumsystem bezogen auf diese Art der Sicherheit auszuhebeln...
