Использование Apache, я заставляю HTTPS на папке:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq www.example.com
ErrorDocument 403 https://www.example.com/admin/
и я могу защитить папку с помощью Apache AuthBasic:
AuthType Basic
AuthName Administration
AuthUserFile /path/to/my/.htpasswd
Require valid-user
Satisfy all
Подобно этому, пароль всегда передается по протоколу HTTPS. Он хорошо работает, но потом я попытался отключить проверку подлинности для одного URL:
SetEnvIf Request_URI crm/index\.php$ removeme_uri
Order deny,allow
Deny from all
Allow from env=removeme_uri
Satisfy any
Этот URL-адрес не требует аутентификации, а другие делают. Так что все хорошо, но HTTPS не требуется больше, и пароль может быть отправлен в ясно!
Что я делаю неправильно здесь?