Používání Apache, jsem přinutit HTTPS na složky:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq www.example.com
ErrorDocument 403 https://www.example.com/admin/
a já chránit složku pomocí Apache AuthBasic:
AuthType Basic
AuthName Administration
AuthUserFile /path/to/my/.htpasswd
Require valid-user
Satisfy all
Stejně jako tento, heslo je vždy odeslána přes HTTPS. Funguje to dobře, ale pak jsem se snažil zakázat ověřování na jedné adrese:
SetEnvIf Request_URI crm/index\.php$ removeme_uri
Order deny,allow
Deny from all
Allow from env=removeme_uri
Satisfy any
Tato adresa URL není požádat o ověření, a ty ostatní. Takže je všechno v pořádku, ale HTTPS není již potřeba, a heslo může být odeslán v pořádku!
Co dělám špatně?