Utilisation d'Apache, je force HTTPS sur un dossier:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq www.example.com
ErrorDocument 403 https://www.example.com/admin/
et je protégerai le dossier en utilisant Apache AuthBasic:
AuthType Basic
AuthName Administration
AuthUserFile /path/to/my/.htpasswd
Require valid-user
Satisfy all
Comme cela, le mot de passe est toujours envoyé via HTTPS. Il fonctionne bien, mais j'ai essayé de désactiver l'authentification pour une seule URL:
SetEnvIf Request_URI crm/index\.php$ removeme_uri
Order deny,allow
Deny from all
Allow from env=removeme_uri
Satisfy any
Cette URL ne demande pas pour l'authentification, et les autres. Donc, tout va bien, mais HTTPS n'est plus nécessaire, et le mot de passe peuvent être envoyés en clair!
Qu'est-ce que je fais mal ici?