Hi,

Vom /icons-Verzeichnis zwei Ebenen nach oben (.%2e ist gleichbedeutend mit ..)? Das darf nicht gelingen.

Weißt Du, wo das verhindert wird?

nicht mit Gewissheit. Ich meine, das ist im Apache-Code hartcodiert.

Aber vielleicht erst in der zweiten Runde. Status 302 ist ja ein Redirect auf eine andere Ressource. Kann es sein, dass die dann erst den 403 schmeißt?

[30/Mar/2022:01:51:46 +0200] "GET /.well-known/security.txt HTTP/1.1" 302 460 "-" "-"
[30/Mar/2022:07:15:31 +0200] "GET /.well-known/security.txt HTTP/1.1" 404 5249 "-" "-"

Ist das die 2. Runde? 1 Uhr und dann 7 Uhr?

Nein, auf keinen Fall. Die beiden Aufrufe müssten im Abstand von Sekundenbruchteilen kommen.

Von mir kam kein Redirect.

Doch, der 302er um 01:51:46. Wohin der umleitet, erkennt man aus dem Protokolleintrag leider nicht. Aber wenn du den Request mal mit wget stellst, bekommst du es direkt angezeigt.

Einen schönen Tag noch
 Martin