Mit Apache, ich zwinge HTTPS auf einen Ordner:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq www.example.com
ErrorDocument 403 https://www.example.com/admin/
und schützt den Ordner Apache AuthBasic mit:
AuthType Basic
AuthName Administration
AuthUserFile /path/to/my/.htpasswd
Require valid-user
Satisfy all
Wie dies wird das Passwort immer über HTTPS gesendet. Es funktioniert gut, aber dann habe ich versucht, die Authentifizierung für eine einzelne URL zu deaktivieren:
SetEnvIf Request_URI crm/index\.php$ removeme_uri
Order deny,allow
Deny from all
Allow from env=removeme_uri
Satisfy any
Diese URL fragt nicht für die Authentifizierung und die anderen tun. So ist alles gut, aber HTTPS ist nicht mehr erforderlich, und das Kennwort in Klartext gesendet werden!
Was mache ich hier falsch?