Help

Questions & Answers

king
I'm new here
โ€Ž11-26-2010 04:14 AM

Wechsel zw. HTTPS und HTTP bei Anmeldung auf FirstSpirit Startseite (HTTPS-term. Proxy)

Fehlerbeschreibung  / detailed error report:

Unter FS 4.2 R4 build 414 erfolgt nach Aufruf der "Anmelden"-Funktion auf der Startseite unter "https://rb-wcms4-d.xx.xxxxx.com/" der FirstSpirit "ROOT" Web-Anwendung ("fs4root") ein Wechsel nach "http". Unter FS 4.2 R2 passierte dieser Wechsel nicht!

Details finden sich im Screenshot anbei!

Analyse:

Der Grund: der HTML-Quellcode der "login.jsp" enthรคlt fรผr das HTML-Form unterschiedliche Ziele.


FS 4.2 R4 build 414:

<div id="loginFormContainer" style="padding-top:70px;display:block;">
  <form name="loginForm" method=POST action="http://rb-wcms4-d.xx.xxxxx.com/" style="padding:0px;margin:0px;" onsubmit="loginInProgress();">

FS 4.2 R2 build 223:

<div id="loginFormContainer" style="padding-top:70px;display:block;">
  <form name="loginForm" method=POST action="/" style="padding:0px;margin:0px;" onsubmit="loginInProgress();">

Die Ziele werden in der "login.jsp" dynamisch generiert aus:

...

String query = (String) request.getAttribute(WebAuthentication.REQUEST_URI);

...

<div id="loginFormContainer" style="padding-top:70px;display:block;">

   <form name="loginForm" method=POST action="<%= query %>" style="padding:0px;margin:0px;" onsubmit="loginInProgress();">

Fazit: es scheint ein Request-Attribut "requestURI" aus dem eingehenden Request in der "fs4root"-Webanwendung ausgelesen zu werden, der hier absolut und nicht mehr relativ ist. Bleibt die Frage: wo wird das Request Attribut jetzt plรถtzlich absolut gesetzt??

Erwartetes Verhalten /  Expected Behavior:

Kein Wechsel des Protokoll-Schemes von HTTPS auf HTTP bei Klick auf "Anmelden"!

 
Labels
fs42_r4_414_https_to_http.jpg
Preview file
95 KB
0 Kudos
7 Replies
boesebeck
Crownpeak employee
Crownpeak employee
โ€Ž11-26-2010 06:24 AM

Hallo Herr King,

folgende Punkt sind noch unklar.

  • Ist dies der identische Server
  • Unterscheidet sich die Konfiguration innerhalb der fs-server.conf?
  • Befindet sich ein Proxy vor dem Server, bzw findet ein rewriting durch einen Apachen statt?

GruรŸ

Gerrit Bรถsebeck

0 Kudos
king
I'm new here
In response to boesebeck
โ€Ž11-29-2010 02:37 AM

Hallo Herr Bรถsebeck,

zu Ihren Punkten:

  • "rb-wcms4-d.de.bosch.com" ist der gleiche Server (in der Topologie hat sich zu R4 nichts verรคndert!)
  • die Konfiguration wurde nicht adaptiert (identisch zu FirstSpirit R2), da R4 รผber Inplace-Update aktualisiert
  • ja, ein Proxy befindet sich vor dem Server (hier eine Cisco Appliance, die wie unter R2 "https" terminiert) -> auch hier gab es keine Konfigurationsverรคnderung!

Konnten wir Ihnen mit den Antworten weiterhelfen?

0 Kudos
boesebeck
Crownpeak employee
Crownpeak employee
In response to king
โ€Ž11-29-2010 03:02 AM

Hallo Herr King,

Holger King schrieb:

  • ja, ein Proxy befindet sich vor dem Server (hier eine Cisco Appliance, die wie unter R2 "https" terminiert) -> auch hier gab es keine Konfigurationsverรคnderung!

in R4 wird die RequestURI fรผr die URL innerhalb der login.jsp genommen, daher wird der Application Server durch den SSL Proxy nur http sehen und nicht https. Welche URLs werden vom SSL Proxy umgeschrieben? Wie sieht es mit absoluten Links innerhalb der HTML Seite aus, werden diese vom SSL Proxy umgeschrieben?

0 Kudos
king
I'm new here
In response to boesebeck
โ€Ž11-29-2010 03:08 AM

Hallo Herr Bรถsebeck,

der Cisco terminiert sรคmtliche HTTPS-Verbindungen und reicht diese in HTTP-Form nach hinten durch. Damit sind alle HTTPS-Verbindungen betroffen!

Unsere Fragen:

- warum die ร„nderung in R4 in der "login.jsp"?

- wie kรถnnen wir auch unter R4 sicherstellen, dass HTTPS weiter nicht zu HTTP geswitched wird?

0 Kudos
boesebeck
Crownpeak employee
Crownpeak employee
In response to king
โ€Ž11-29-2010 03:32 AM

Hallo,

- warum die ร„nderung in R4 in der "login.jsp"?

Bei der Verwendung von geschรผtzten FirstSpirit Web Application auf einen externen Application Server wird der FQDN fรผr die Anmeldung benรถtigt.

- wie kรถnnen wir auch unter R4 sicherstellen, dass HTTPS weiter nicht zu HTTP geswitched wird?

  • FirstSpirit/Tomcat nativ im HTTPS Modus betreiben
  • URL Rewriting durch den SSL-Proxy
0 Kudos
king
I'm new here
In response to boesebeck
โ€Ž11-30-2010 04:07 AM

Sehr geehrter Herr Bรถsebeck,

sind auรŸer der "login.jsp" noch andere JSPs von dieser  Behandlung betroffen? Sprich: wird in anderen FirstSpirit-JSPs die  gleiche Behandlung durchgefรผhrt, die jetzt auch in der "login.jsp" integriert wurde?

Ihre Antwort ist fรผr uns von Bedeutung, da wir auf der Grundlage entscheiden, ob eine grundsรคtzliche Topologieรคnderung notwendig wird.

0 Kudos
boesebeck
Crownpeak employee
Crownpeak employee
In response to king
โ€Ž12-06-2010 06:43 AM

Hallo Herr King,

Holger King schrieb:

sind auรŸer der "login.jsp" noch andere JSPs von dieser  Behandlung betroffen? Sprich: wird in anderen FirstSpirit-JSPs die  gleiche Behandlung durchgefรผhrt, die jetzt auch in der "login.jsp" integriert wurde?

uns sind keine weiteren Stellen bekannt.

0 Kudos

Type a product name