Moin hotti,

Nicht einmal die Information „Nutze besser Perl!“ kommt an.

Ist ja auch nicht meine Information, das sind Worte, die mir hier untergejubelt werden, wie so oft.

Das wurde dir nicht untergejubelt. Matthias schrieb „nichtmal die Information,” er sagte also, dass du das nicht geschrieben hast.

Ein "Stern Blind" für diejenigen, die nicht lesen können. Das Problem ist die Parametrisierung von URLs verbunden mit einer Authorization Basic. Das hat mit Perl überhaupt nichts zu tun, wer jedoch mit PHP arbeitet, tappt da voll rein, aber sowas von!

Naja, es ist ein unglückliches Zusammenspiel verschiedener Quirks, aber es ist eine Sicherheitslücke in deinem Code bzw. deiner Konfiguration, nicht in Apache oder mod_rewrite oder PHP.

Weiterhin gilt zu beachten, dass der Zugriffsschutz auf URLs, die umgeschrieben werden sollen, eh problematisch ist. mod_rewrite arbeitet in den beiden Phasen URL-to-filename translation hook und Fixup hook. Der erste Hook ist der Hook, der z.B. bei <VirtualHost>-Direktiven zum Einsatz kommt. Der findet jedoch vor der Autorisierungs-Phase statt. Der zweite Hook wird aufgerufen, wenn die Per-Directory-Hooks vorbei sind (nach der Autorisierungs-Phase). Das bedeutet, dass ein Basic Auth auf Per-Server-RewriteRules nicht möglich ist, durchaus aber auf RewriteRules, die in einer .htaccess definiert werden. Dieses Verhalten ist dokumentiert.

Du siehst also, was Autorisierung und mod_rewrite angeht, musst du eh vorsichtig sein.

LG,
 CK