Hallo zusammen,
ich möchte den Adminbereich einer Seite neben der Authentifizerung des Systems selber zusätzlich mit .htaccess schützen.
Weil ich in der Vergangenheit aber erleben durfte, wie begeistert im Netz meiner Schule die Datenpakate von anderen Schülern Raum gesnifft wurden möchte ich das Ganze über eine SSL-Verbindung mit 256 Bit AES sichern lassen.
Ich habe also jetzt ins Verzeichnis des Adminbereichs eine .htaccess-Datei mit folgendem Inhalt angelegt:
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://www...........de/admin/$1 [R]
AuthUserFile ........./.htpasswd
AuthName "Adminbereich"
AuthType Basic
<Limit GET POST PUT>
require user XXXX XXXXX
</Limit>
Wenn ich also nun das Verzeichnis admin aufrufe, werde ich auch sofort und widerstandslos auf eine SSL-Gesicherte Verbindung weitergeleitet.
Mir geht es aber vorrangig um das unverschlüsselt übertragene Passwort durch den .htaccess-Schutz, denn das wird scheinbar nicht verschlüsselt übertragen.
Wenn ich die Seite aufrufe, werde ich nach Benutzername und Kennwort gefragt. Gebe ich dieses ein, kommt erst dann die Sicherheitswarnung wegen dem selbstsignierten Zertifikat und dann werde ich nochmal nach Benutzername und Kennwort gefragt (welche dann erst verschlüsselt übertragen werden), danach sehe ich auch tatsächlich die Seite.
Was muss oder kann ich ändern, damit das Kennwort bereits über die Verschlüsselte Verbindung übertragen wird (außer die Seite direkt mit https:// aufzurufen - sollen ja andere auch benutzen)?
Danke schonmal
Ist zwar auch schon ein bisserl her, sicher hast du schon ein Lösung.
Meine Meinung: Nimm nicht AuthType Basic, sondern AuthType Digest.
siehe:
http://fachschaft.physik.uni-greifsw...ch/apache.html
gruss, KarstenZitat von http://httpd.apache.org/docs/1.3/howto/auth.html
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
LinkBack URL
About LinkBacks
Zitieren