BASIC認証をSSLで使用する場合

私は現在XREAという.htaccessOKのサーバ屋のサーバを使っています。

このサーバは非公開ディレクトリも作成できるので
そちらにいろいろと非公開コンテンツを乗っけようと思いましたが
CGIが対応していないようなので公開ディレクトリの下に
BASIC認証を敷こうと思っています。

そのさい、単にBASIC認証だとパスワードが平文で送信されるそうなので
パスワードを認証して最初のページに入るまでSSLを使用し、
BASIC認証の弱点を克服することが出来たらと思っております。

どうすればhttps://の状態でBASIC認証をかけることができるか、
また認証後http://に戻すにはどうすればいいのか、ご存知の方
いらっしゃいましたらご教授願います。

No.2 回答者： noname#84695 回答日時： 2005/11/06 10:20

BASIC認証をかけているhttpsのページからhttpのページに転送をかけてみてはいかがでしょうか？

ただし、#1さんと同意見で、最初のBASIC認証だけパスワードをかけても意味がないと思います。

BASIC認証後のページを特定の人物にしか見せたくないという趣旨のはずですので、仮にhttpのURLがばれてしまったら丸裸ですよ？

No.1 回答者： osamuy 回答日時： 2005/11/06 00:25

SSL通信とBASIC認証の機能は独立してますので、.htaccessでBASIC認証を設定した場合、httpとhttpsのいずれでも認証がかかります。

BASIC認証を使用する場合、要求時のデータに必ずパスワードが含まれます。
なので、BASIC認証の最初のパスワードを入れる時だけhttpsで、以降はhttpで通信したいと思っても、BASIC認証の意味がなくなるという。

クッキーにセッションキーを持たせる仕組みとかを、別途作りこむ必要があります。