Usando Apache, eu forçar HTTPS em uma pasta:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq www.example.com
ErrorDocument 403 https://www.example.com/admin/
e eu proteger a pasta usando Apache AuthBasic:
AuthType Basic
AuthName Administration
AuthUserFile /path/to/my/.htpasswd
Require valid-user
Satisfy all
Assim, a senha é sempre enviados através de HTTPS. Ele funciona bem, mas então eu tentei desativar a autenticação para um único URL:
SetEnvIf Request_URI crm/index\.php$ removeme_uri
Order deny,allow
Deny from all
Allow from env=removeme_uri
Satisfy any
Este URL não pede para autenticação, e os outros fazem. Então, tudo está bem, mas HTTPS não é mais necessário, e a senha podem ser enviados em claro!
O que estou fazendo de errado aqui ?