Copying sources and texts (also in parts) for publishing without our permission is NOT ALLOWED. We are fed up with finding our work on other sites (like stackoverflow).
Das Kopieren von Quellcode und Texten (auch in Auszügen) ist nicht erlaubt. Wir haben es gründlich satt, unsere Arbeit auf anderen Webseiten zu finden.

Copying for non-public usage is allowed.           Das private Kopieren und Benutzen ist natürlich erlaubt und erwünscht.
13. Jul
Teaser

Sicherheit: SSL für Authentifizierung erzwingen (Apache erlaubt non-SSL redirect)

Wenn Sie auf Ihrem Webserver Verzeichnisse per “.htaccess” schützen und SSL für eine verschlüsselte und sichere Übertragung der Benutzerdaten benutzen möchten, dann kennen Sie wahrscheinlich das Problem:

Der Benutzer ruft die Webseite ohne SSL (“http://” und nicht “https://”) auf und die Passwortabfrage erscheint noch vor der Weiterleitung auf die SSL geschützte Seite. Das heißt, dass die Benutzerdaten (Benutzername und Passwort zur Identifizierung) unverschlüsselt an den Server übertragen werden und erst nach der Akzeptanz dieser Zugangsdaten eine Weiterleitung auf die SSL geschützte Webseite erfolgt. Nicht wirklich sicher und nicht wirklich der gewünschte Ablauf, denn gerade solche Daten sollten bei der Übertragung geschützt werden.

Lösung: Ergänzen Sie Ihre “.htaccess” Datei nach dem folgenden Muster und der Apache-Server wird erkennen, dass der Benutzer ohne SSL zugreift. Zuerst erfolgt dann eine Weiterleitung auf den SSL Kanal und erst danach, auf Basis der SSL Verschlüsselung, erfolgt die Abfrage der Benutzerdaten (in diesem Beispiel gegen die “.htpasswd”).

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

<If "%{HTTPS} == 'on'">
AuthUserFile "/path/to/.htpasswd"
AuthType Basic
AuthName "Enter your password with SSL protection"
require valid-user
</If>