[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Apache https und Require ip

Hallo,
vor kurzen habe meine lokale Webseite von http auf https umgestellt.
Bisher erfolgte auf Grund des .htaccess-Eintrags "Require ip 192.168.0"
keine Nutzer/Kennwortabfrage. Nach der Umstellung auf https erfogt nun
die Abfrage, egal ob ich die Seite direkt per https oder über den Umweg
mit rewrite aufrufe. Jemand eine Idee warum das so ist und wie ich das
ändern kann?

Apache-Version: 2.4.10-10+deb8u13

Auszug aus der /etc/apache2/sites-available/zuhause.local

   ##########################################
   # myMediathek (allgemein)
   ##########################################
   <VirtualHost *:80>
      ServerName myMediathek.zuhause.local
      DocumentRoot /server/mediathekview/
      ServerAdmin admin@zuhause.local
      <Directory /server/mediathekview>
         AllowOverride all
      </Directory>
      RewriteEngine on
      RewriteRule ^/(.*) https://myMediathek.zuhause.local$1
[R=permanent,L]
   </VirtualHost>

   <VirtualHost *:443>
      ServerName myMediathek.zuhause.local
      DocumentRoot /server/mediathekview/
      <Directory /server/mediathekview>
         AllowOverride all
      </Directory>
      ServerAdmin admin@zuhause.local
      SSLEngine on
      SSLCertificateKeyFile
/etc/apache2/ssl/zuhause.local/private/ca.key.pem
      SSLCertificateFile     /etc/apache2/ssl/zuhause.local/zuhause.crt
   </VirtualHost>

Die Dazei /server/mediathekview/.htaccess

   ##############################
   #.htaccess fuer myMediathek  #
   ##############################

   # Titelzeile der Abfragemaske
   AuthName "MediathekView"

   # Standardsicherheit
   AuthType Basic

   # Vollständiger Pfad zur Kennwortdatei
   AuthUserFile /.../.passwd/.htpasswd_mediathekview

   #Keinen zulassen
   Require all denied

   # Gueltiger User erforderlich
   Require valid-user

   # Gueltiger IP-Bereich erforderlich
   Require ip 192.168.0

   # Startseite festlegen
   DirectoryIndex index.php index.html INDEX.HTML

   # CSP, um XSS zu verhindern (s. c't 10/2013 Seite 172)
   <IfModule mod_headers.c>
   	Header set Content-Security-Policy "default-src 'self'"
   	Header set X-Content-Security-Policy "default-src 'self'"
   	Header set X-Webkit-CSP "default-src 'self'"
   </IfModule>

   # Standard-Zeichensatz
   AddDefaultCharset utf-8
--
Gruß aus der Ex-Heimat der CeBIT
Jochen
Reply to: