Zum Inhalt springen
  • 0

.htaccess : force https und Verzeichnisschutz


Gast der-mali
 Teilen

Frage

Hallo,

ich verwende eine .htaccess Datei (siehe unten), die die https erzwingt und gleichzeitig den Verzeichnisschutz beinhaltet.

Ganz bewusst habe ich darin das force https vorne angestellt.

Beides für sich funktioniert.

Meine Frage ist nun: Werden die Zugangsdaten des Verzeichnisschutzes bereits auch schon verschlüsselt übermittelt oder greift https erst nach diesem "Login"?

Gebe ich nämlich meine URL ohne htttps ein, so sehe ich im Hintergrund des Log-Fensters, dass dort "http" stehen bleibt und die Umleitung zu "https" erst nach dem Einloggen erfolgt.

Ansonsten: gibt es eine bessere Lösung für mein Problem?

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

### START i-MSCP PROTECTION ###
AuthType Basic
AuthName "Verzeichnisschutz"
AuthUserFile /var/www/virtual/meine-domain.tld/.htpasswd
Require user meinnutzername
### END i-MSCP PROTECTION ###

Vielen Dank,

Thomas

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

7 Antworten auf diese Frage

Empfohlene Beiträge

  • 0
Am 26.9.2018 um 22:27 schrieb _n4p_:

schreib mal 


SSLRequireSSL

zwischen Rewrite und Auth

Schreibe ich das zwischen die zwei Blöcke, so bekomme ich einen Fehler 500.

Bearbeitet von der-mali
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
$_SERVER['SERVER_SOFTWARE'] Apache/2.4.10 (Debian)

 

Log-Files habe ich gar nicht angelegt bzw. überlege ich gerade, ob bei einer Subdomain wie in diesem Fall eigene Logs angelegt werden oder in der Domain zu finden sind.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Ich habe diese Seite gefunden:

https://kortstock.de/WWW-Kurs/verzeichnisschutz/htaccess.html

Zitat

"Mit AuthType Basic legen Sie die Art der Authentifizierung fest. Basic ist hier die Methode der Wahl: Zwar wird die Passwortübertragung nicht verschlüsselt, aber sie wird von den gängigen Clients (= Browsern) unterstützt. Andere Typen gibt es auch, das hängt aber von der Konfiguration Ihres Servers ab (z.B. LDAP). Von Apache mitgeliert wird Digest, das v.a. eine gesicherte Übertragung des Passwortes ermöglicht, aber von Clients wohl noch kaum unterstützt wird."

Der Weg AuthType Basic führt also ins Leere.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

AuthBasic wird schon verschlüsselt wenn du über https kommst. Ich hab das so getestet und das funktioniert

 

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

SSLRequireSSL
ErrorDocument 403 https://yourdomain.com/securefolder
AuthType Basic
AuthName "Admin"
AuthUserFile /outside/your/www/folder/.htpasswd

die frage ist halt woher der Fehler 500 bei dir herkommt

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
vor 19 Stunden schrieb _n4p_:

die frage ist halt woher der Fehler 500 bei dir herkommt

Das wäre echt wichtig, kannst du uns vllt mitteilen, was in den Serverlogs steht?

Es reicht schon die Fehlermeldung, den Rest brauchen wir nicht.

Läuft das vllt auch ein anderer Dienst, der den 500 erzeugen kann? PHP,Perl oder ähnliches?

 

Was mir spontant noch einfallen würde für den 500er.

Hast du mod_ssl aktiviert?

Wenn du auf den Server über SSH/Putty gehst, versuche mal

 

apache2ctl -M | grep ssl

 

Wenn dies keine Ausgabe ergibt, hast du kein SSL Modul aktiviert.

Wenn dies der Fall sein sollte, auf dem Server

a2enmod ssl

ausführen und danach ein apache reload durchführen .

Bearbeitet von dekmar
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

Fachinformatiker.de, 2022 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung