Re: Re[2]: [apache-talk] Basic_WWW_Authentification

["Eugene B. Berdnikov" <berd@desert.ihep.su>]

On Thu, Feb 28, 2002 at 06:17:13PM +0300, Alex Tutubalin wrote:
> On Thu, Feb 28, 2002 at 06:14:25PM +0300, Eugene B. Berdnikov wrote:
> > > Просто если у тебя http://www.somewhere.there/supersecret/important.cgi
> > > запросил авторизацию, то http://www.somewhere.there/~someuser/spy.cgi ее
> > > тоже получит - независимо от того: запрашивал он вообще авторизацию или
> > 
> >  Интересное утверждение. Механизм не нарисуете?
> > 
> >  Hint: далеко не во всех ОС, и даже не во всех юниксах можно читать данные
> >  другого процесса, включая environment. А realm для /supersecret/ вовсе
> >  не обязан совпадать с таковым для /~someuser/.
> 
> Вот пример механизма
>  - автор spy.cgi идет (по http) на supersecret/.... и смотрит там Realm
>  - и выдает, соответственно, такой же.

 Мысль, конечно, интересная, хотя надо суметь заманить уже авторизованного
 юзера на свою страничку, да потом подсунуть ему nph-скрипт, выдающий 401...
 Хотя в принципе реализуемо.

 А меня посетила такая мысль: через ptrace(2) во многих юниксах можно
 получить все данные, которые передает клиент - для этого достаточно,
 чтобы uid, под которым выполняются cgi-ные скипты, совпадал с uid'ами
 апачевых дочек.

 Так что это защита от "честных воров" получается? :)
-- 
 Eugene Berdnikov
=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =