.htaccess-Passwortschutz wird zweimal verlangt

Hallo,

da unser „Shop“ nur von ausgewählten Kunden besucht werden soll, haben wir von unserem Host einen Passwortschutz einrichten lassen (da ich selbst nicht so versiert bin auf dem Gebiet). Dies wurde gelöst per .htaccess und .htpasswd.

Nun haben wir allerdings das Problem, das der Kunde auf die Seite „www.domain.com“ geht. Dann kommt die Passwortabfrage. Kunde gibt den Nutzernamen und das Passwort ein. Nun ploppt nochmal das Loginfenster auf für „domain.com“ (also ohne .www). Wird nun der selbe Nutzername und Passwort eingegeben, funktioniert alles.

Woran liegt das? Wir hatten bereits 1 Mail von einem Kunden, den dies Problem versunsichert, da man nie weiss, ob man die Daten richtig eingegeben hat, oder nicht…

Liegt sowas an der .htaccess, dem Server vom Host, oder muss ich hier als Shopbetreiber zusätzlich noch irgendwas ändern?

Danke für Tipps.

das liegt wohl daran, dass es mit und ohne www für den Browser 2 unterschiedliche Rechner sind. Du müsstest den Kunden die URL kommunizieren die ohne Weiterleitung auskommt.

Danke für die Antwort,

aber verstehen tu ich sie nicht. :slight_smile:

Wie meinst du das mit 2 Rechnern?

Wieso findet überhaupt eine Weiterleitung statt? Es gibt die Domain www.domain.com. Dort wir weitergeleitet auf https, da wir ein SSL-Zertifikat haben. Liegt es daran?

Würde ich mal stark vermuten. Für der Browser sind es wohl dadurch unterschiedliche Server.

Jetzt fehlt nur noch die Lösung, wie man das lösen kann…

Ich bilde mir aber ein, das dieses Problem schon vorlag, bevor wir das SSL Zertifikat bekommen haben (bin mir nicht sicher).

Hat es möglicherweise mit den Grundeinstellungen im Shopware-Backend zu tun? Hier kann man ja auch unter Shopeinstellungen Dinge eingeben wie “Host” und “Hostalias”. Hier ist derzeit “www.domain.com” eingetragen. Muss man hier vllt. die Domain mit https eingeben? Ich will nur nix umstellen, da ich nix kaputt machen will. :slight_smile:

Die Kunden müssen direkt die URL eingeben, inkl. Protokoll wo sie hin sollen.

Im Grunde ist der Ablauf so, das wir eine Firmenseite haben und auf dieser ist ein Link im Menu, den Die Kunden anklicken. Dieser ist verlinkt mit “https://www.domain.com”.

Auch hier kommt die 2fache Abfrage. Daher verstehe ich das ganze nicht…

Und das sich manche die weitergeleitete Domain merken und dann Tage später nicht auf den Link klicken, sondern einfach nur www.domain.com in den Browser tippen, kann ich ja nicht verhindern. Auch hier haben sie dann die 2fache Abfrage.

Hallo,

nach der Erstbeschreibung des Fehlers, wird ja abschließend wohl noch nach Domain.com umgeleitet. Das ist der Punkt an dem man bei der Fehlersuche ansetzen sollte. Wo wird das gemacht und warum. Ist es erwünscht, oder ein Fehler?

Solange diese Umleitung besteht, ist die zweite PW-Abfrage nur folgerichtig.

Ich glaube, Fehler ist folgender:

Wir haben die Option “SSL überall verwenden” angehakt. Unser Host hat den Server so eingerichtet, das man imemr auf https weitergeleiter wird, egal welche Domain man eingibt (domain.com, www.domain.com, http://www.domain.com).

Was noch nicht erledigt war, war den SEO-Index neu zu generieren. Dadurch war das Menu immer noch auf www.domain.com/Kategorie verlinkt.

Geht man nun auf den Shop, kommt einmal die Passwaortabfrage für https und einmal, weil noch Verlinkungen ohne https vorhanden waren. Ich habe nun mal den Seo-Index neu generiert. Nun verlinkt das gesamte Shopmenu bei allen Kategorien auf https://www.domain.com/Kategorie.

Nun scheint es zu funktionieren. Es darf nur nirgends auch nur 1 Seite ohne https verlinkt sein.

Die Frage ist nur, wie sinnvoll das ist, oder ob “SSL überall verwenden” überhaupt benötigt wird?! Sollte man mal eine Einkaufswelt neu erstellen und einen Artikel manuell verlinken und dann vergessen, mit https zu verlinken, hat man wieder die Passwortabfrage.

Ich frage mich jetzt nur, ob ich das so lassen soll und in Zukunft immer daran denken muss, alles mit https zu verlinken, oder ob es besser ist, das SSL überall verwenden rauszunehmen und den Host zu bitten, die Weiterleitung auf https wieder zu entfernen.

 

Die Frage ist auch ob eine Zugriffssteuerung für Kunden per .htaccess noch zeitgemäß ist.

Hallo,

man kann sich auch prinzipiell angewöhnen, ohne Protokollangabe zu verlinken:

Link

Dann kann immer der Browser das passende Protokoll wählen.

Mal sehen, ob es nun funktioniert. Zurzeit verlangt er den Login nur 1x. Bin mir nur unsicher, da ich nie weiss ,ob der Testrechner usw. noch irgendwie Cookies gespeichert hat.

Ich lasse es jetzt mal so und schau die nächste Woche, ob der Fall nochmal auftaucht. Sollte alles ok sein, lasse ich es so. Ist jetzt sicher auch kein nachteil, wenn SSL überall verwendet wird (ODER?).
Wenn der Fehler nochmal auftritt, melde ich mich wieder.

Danke für eure Hilfe.

Die doppelte Abfrage kommt NICHT von der http-Weiterleitung auf https bei gleicher Domain - gerade im eigenem Testshop nachgespielt. Die Domain ändert sich da ja nicht, sondern nur das Protokoll. Die user/passwort Kennung wird ja vom browser für die Domain im Header mitgesendet.

Die doppelte Nachfrage kommt von der Weiterleitung von www.domain.com auf domain.com
a) entweder ist der Shop intern auf „ohne“ www eingestellt
b) ggf. ist irgendwas, was nachgeladen wird, falsch eingebunden, also z.B. ein Bild ohne www

Ich tippe auf ein Shop-Url ohne www - die aliase sorgen ja nur dafür, dass dieser Shop sich mit diesen Domains bei Sprach- Subshops bei alternativen Domains zuständig fühlt - und dann auf sich selber weiterleitet.

Wenn der Shop ohne www in den Shop-Einstellungen konfiguriert ist, Dein Kunde aber mit www aufruft, muss er halt mit der doppelten Eingabe leben.

2 Likes

Danke sonic für das nachspielen. So, wie du das beschreibst denke ich auch so langsam, das dies bei uns der Fall ist. Die Domain wurde uns damals vom Host eingerichtet. Wenn ich mich in das Backend vom Host einlogge stehht auch dort: “domain.com”.

Unter dem Punkt "Domain hinzufügen hätte ich die Option mit oder ohne www (empfohlen).

Aber was nun? Ändern auf www.? Überhaupt eine andere Lösung?

Du könntest direkt in den Domain-Einstellungen vom Hoster (sofern möglich) eine Umleitung von mit www auf ohne www machen. Die greift dann eine Schicht vorher auf Serverebene. Die jetzige kommt ja aus Shopware selber. Also die www-Domain nicht auf einen Dateipfad zum Shop mappen, sondern ein Redirect auf die “ohne”-Domain - gleich nach https - machen.

Was noch zu bedenken ist: Unterm Apache dürfte mit dem htaccess-Schutz die API nicht funktionieren, da die API die gleiche Autentifizierung benutzt, und der Apache nicht unbedingt die Kennung durchreicht. Wenn dann der API-User andere Zugangsdaten hat, als der htaccess-Passwortschutz, ist eh vorbei - gibt halt nur einen Autentifizierungsheader :wink:

Ohje Ohje, das wird mir alles zu hoch. ich habe von dem ganzen Thema genau 0 Ahnung. :smiley:

Wozu eigentlich ohne .www? Das gibt doch kein Mensch ein im Browser. Wenn, schreibt man doch immer www.domain.com. Auch unsere Firmenseite verlinkt auf https://www.domain.com.

Ich kann hier beim Hostanbieter den Punkt “Bevorzugte Domain” wählen. Zur Auswahl gibt es: “www.domain.com”, “domain.com” und “Keine”. Ausgewählt war “Keine”. Ich habe jetzt mal auf “www.domain.com” umgestellt.
Wenn jetzt unsere Firmenhomepage auf https://www.domain.com verlinkt, müsste ich doch beim Hostanbieter “www.domain.com” wählen, oder nicht?

Was du mit dem Thema Apache, Api, durchreichen usw. meinst… Ich verstehe nur Bahnhof. - Trotzdem vielen Dank für die Bemühung!