No Apache 2.4 , ao usar mod_autoindex e mod_auth_basic em um diretório, a indexação desse diretório faz com que mod_auth_basic execute um hash de senha e pesquise do zero uma vez para cada único arquivo / subdiretório no diretório.
Se estiver usando um hash de armazenamento de senha de string como o bcrypy de alto custo, isso pode causar grandes atrasos. Além disso, esse comportamento é desnecessário, uma vez que todos os arquivos estão sob as mesmas configurações de autenticação e, portanto, o usuário e os grupos precisam ser confirmados apenas uma vez. A confirmação várias vezes de forma dramática e artificial aumenta o custo local do hashing de senha strong sem nenhum benefício de segurança, reduzindo muito a segurança geral ao forçar o uso de algoritmos de menor custo.
Minha pergunta é: Como posso inibir esse comportamento?
Como posso fazer com que mod_autoindex faça apenas uma única chamada para a biblioteca de autenticação de senha?
Veja um exemplo que tem o problema:
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/mycert.crt
SSLCertificateKeyFile /etc/apache2/ssl/mykey.key
<Directory "/webdata/doc">
AuthType basic
AuthName "Safe Documents"
AuthBasicProvider file
AuthUserFile passwd/docuemnts_users.passwd
require valid-user
Options +Indexes
</Directory>
</VirtualHost>
Seguindo o código de tratamento de solicitação do Apache, isso não parece ser o caso. Se eu estou lendo certo, a autenticação / autorização é feita uma vez para o pedido principal.
O módulo mod_autoindex funcionará na cadeia de saída para gerar o conteúdo, uma vez que tenha sido autorizado para isso. O único código semelhante à autorização em mod_autoindex.c é verificar se é permitido gerar o índice ou não.
Se você criou o código com os símbolos de depuração e tudo mais, poste suas descobertas.