.htaccess : force https und Verzeichnisschutz

[Gast der-mali]

Hallo,

ich verwende eine .htaccess Datei (siehe unten), die die https erzwingt und gleichzeitig den Verzeichnisschutz beinhaltet.

Ganz bewusst habe ich darin das force https vorne angestellt.

Beides für sich funktioniert.

Meine Frage ist nun: Werden die Zugangsdaten des Verzeichnisschutzes bereits auch schon verschlüsselt übermittelt oder greift https erst nach diesem "Login"?

Gebe ich nämlich meine URL ohne htttps ein, so sehe ich im Hintergrund des Log-Fensters, dass dort "http" stehen bleibt und die Umleitung zu "https" erst nach dem Einloggen erfolgt.

Ansonsten: gibt es eine bessere Lösung für mein Problem?

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

### START i-MSCP PROTECTION ###
AuthType Basic
AuthName "Verzeichnisschutz"
AuthUserFile /var/www/virtual/meine-domain.tld/.htpasswd
Require user meinnutzername
### END i-MSCP PROTECTION ###

Vielen Dank,

Thomas

 

[_n4p_]

schreib mal 

SSLRequireSSL

zwischen Rewrite und Auth

[Gast der-mali]

Am 26.9.2018 um 22:27 schrieb _n4p_:

schreib mal 

SSLRequireSSL

zwischen Rewrite und Auth

Schreibe ich das zwischen die zwei Blöcke, so bekomme ich einen Fehler 500.

Bearbeitet 27. September 2018 von der-mali

[_n4p_]

Welche Apache Version ist das? Was steht im Log?

[Gast der-mali]

$_SERVER['SERVER_SOFTWARE']

Apache/2.4.10 (Debian)

 

Log-Files habe ich gar nicht angelegt bzw. überlege ich gerade, ob bei einer Subdomain wie in diesem Fall eigene Logs angelegt werden oder in der Domain zu finden sind.

[Gast der-mali]

Ich habe diese Seite gefunden:

https://kortstock.de/WWW-Kurs/verzeichnisschutz/htaccess.html

Zitat

"Mit AuthType Basic legen Sie die Art der Authentifizierung fest. Basic ist hier die Methode der Wahl: Zwar wird die Passwortübertragung nicht verschlüsselt, aber sie wird von den gängigen Clients (= Browsern) unterstützt. Andere Typen gibt es auch, das hängt aber von der Konfiguration Ihres Servers ab (z.B. LDAP). Von Apache mitgeliert wird Digest, das v.a. eine gesicherte Übertragung des Passwortes ermöglicht, aber von Clients wohl noch kaum unterstützt wird."

Der Weg AuthType Basic führt also ins Leere.

[_n4p_]

AuthBasic wird schon verschlüsselt wenn du über https kommst. Ich hab das so getestet und das funktioniert

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

SSLRequireSSL
ErrorDocument 403 https://yourdomain.com/securefolder
AuthType Basic
AuthName "Admin"
AuthUserFile /outside/your/www/folder/.htpasswd

die frage ist halt woher der Fehler 500 bei dir herkommt

[dekmar]

vor 19 Stunden schrieb _n4p_:

die frage ist halt woher der Fehler 500 bei dir herkommt

Das wäre echt wichtig, kannst du uns vllt mitteilen, was in den Serverlogs steht?

Es reicht schon die Fehlermeldung, den Rest brauchen wir nicht.

Läuft das vllt auch ein anderer Dienst, der den 500 erzeugen kann? PHP,Perl oder ähnliches?

 

Was mir spontant noch einfallen würde für den 500er.

Hast du mod_ssl aktiviert?

Wenn du auf den Server über SSH/Putty gehst, versuche mal

 

apache2ctl -M | grep ssl

 

Wenn dies keine Ausgabe ergibt, hast du kein SSL Modul aktiviert.

Wenn dies der Fall sein sollte, auf dem Server

a2enmod ssl

ausführen und danach ein apache reload durchführen .

Bearbeitet 30. September 2018 von dekmar