Thanks<br><br>&quot;It's worth bearing in mind that those credentials are passed over the<br>wire with every page, so you need your sessions to /stay/ in SSL mode<br>once authenticated.&quot;<br><br>Yes, I've got the whole site going over SSL and the :8080 port re-directing to SSL.
<br><br>However on my main server where I have other sites I was thinking about implementing SSL for the login areas to make them fully secure. From what you are saying though you'd basically need to make a whole site go over SSL and just implementing that on the login areas isn't worth it?
<br><br>I still have an issue with IE6 over SSL where trying to create new pages or edit content, produces a server not found and the padlock dissapears. I have TLS 1.0 and SSL 2.3, 3.0 selected in advanced. IE 6.02. Firefox 
1.5 (predictably..) works fine but I don't want to have to get all my users to install it even though I'd like to :-)<br><br><br><div><span class="gmail_quote">On 2/11/06, <b class="gmail_sendername">Philip Kilner</b> &lt;
<a href="mailto:phil@xfr.co.uk">phil@xfr.co.uk</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hi Michael,<br><br>michael nt milne wrote:
<br>&gt; I've implemented what's outlined in the make private site<br>&gt; documentation and it works fine on Plone 2.1.1. No content is available<br>&gt; apart from the site-map page (doesn't list content) and the contact form
<br>&gt; but I can figure that out separately.<br>&gt;<br><br>Since neither of those counts as &quot;content&quot; as such, I think that that is<br> legitimate and as you say, you can work around those if it matters to<br>
you (In cases where I've wanted to work around such things, I've simply<br>called a script that redirects with an error message if the the<br>appropriate conditions aren't met.<br><br>&gt; Yes I think I like the HTML login page way to authenticate. It feels
<br>&gt; more usable. And I don't think I'll use an Apache login box at all. Most<br>&gt; users will find it hard remembering one password and with cookie<br>&gt; authentication over SSL you can go straight into the site. Brilliant.
<br>&gt;<br><br>Agreed. Apache does a great job of managing the SSL, securing the data<br>over public wires, but that's a 100% generic task whereas the<br>authentication is tightly bound to your application.<br><br>It's worth bearing in mind that those credentials are passed over the
<br>wire with every page, so you need your sessions to /stay/ in SSL mode<br>once authenticated.<br><br>&gt; I'm revisting some of the points made in this thread though about<br>&gt; security. It does seem that Zope and Plone as you say, are at odds on this.
<br>&gt;<br><br>Because Zope is an application server, it has to expose it's mechanism -<br>Plone has an easier job because it has a specific task to do (e.g.<br>manage content), and so can take an approach which is much simpler to
<br>fly. In Plone, always do things the Plone way - working at the Zope<br>level may potentially subvert Plone's mechanisms for achieving things.<br><br><br>--<br><br>Regards,<br><br>PhilK<br><br>Email: <a href="mailto:phil@xfr.co.uk">
phil@xfr.co.uk</a><br>PGP Public key: <a href="http://www.xfr.co.uk">http://www.xfr.co.uk</a><br>Voicemail &amp; Facsimile: 07092 070518<br><br>&quot;You'll find that one part's sweet and one part's tart:<br>say where the sweetness and the sourness start.&quot;
<br>- Tony Harrison<br></blockquote></div><br><br clear="all"><br>-- <br>Michael