https somente no login

[cldn]

Olá!

Tenho o roundcubemail e configurei o ssl no apache. No roundcubemail configurei a variável para forçar o acesso por https:
$rcmail_config['force_https'] = true;
Funciona perfeitamente!
Porém, gostaria do https somente no login!! Depois do login gostaria que voltasse para http ...

No apache segue conf. principal do acesso ssl do webmal:

<VirtualHost *:443>

# General setup for the virtual host
DocumentRoot /var/www/html/roundcm-contabil
ServerName webmail.dominio.com.br:443
ServerAlias webmail.dominio.com.br
CustomLog /var/log/httpd/virtualh/access-mail.log common
#ServerAdmin root@localhost
ErrorLog logs/ssl_error_log
</VirtualHost>


Testei algumas confs que pesquisei no google, mas sem sucesso ...
Desde já agradeço qquer help!

[]'s

[mtec]

Uma dúvida... Por que segurança somente no login??

mtec

[cldn]

Olá mtec!
Pois no login é o momento em que a senha trafega pela rede. Após isso, não vejo necessidade de usar https em todo uso do webmail, dispensando processamento de encriptação a todo momento. A não ser que, este processamento seja muito baixo.

[mtec]

Amigo... Se existe a possibilidade de alguem interceptar senhas "durante um login", o mesmo "atacante" não poderia se interessar pelo conteúdo dos emails??

Acha que o interesse maior deste é roubar senhas para fraudar mensagens? Claro, uma senha pode abrir diversas portas como contas de banco, logins de redes e etc.

Entretanto, entendo que, se existe um interesse nesse sentido, o objetivo maior é roubar informações relevantes. Neste caso, contidas no corpo do email.

Conselho: Se pode manter encriptado todo o corpo da mensagem, mantenha!!!

http://static1.under-linux.net/image...ies/afraid.gif mtec

[cldn]

Sim, o que você diz faz sentido.
E qto isso impacta no processamento no uso contínuo do https ?
Senti uma pequena degradação no uso do webmail...

[mtec]

Normal, porém precisa ser aceitavel.

Verifique outros fatores como estrutura física e recursos deste equipamento.

mtec