Здравствуйте, Khimenko!
KV> Да НИЧЕГО не нужно. То есть ВООБЩЕ. Netscape и MS IE, если их однажды
KV> /supersecret/ попросил авторизоваться будут выдвать ВСЕ пароли на
/~someuser/
KV> даже если тот ВООБЩЕ не запрашивает авторизацию ! Это я сглупил про realm'ы
KV> все на самом деле куда хуже (или лучше - смотря с какой стороны смотреть :-)
Вообще, в стандарте написано, что защищаемая область
определяется реалмом и путем, подразумевая, что она
распространяется на все файлы в этом каталоге и его
подкаталогах. И клиент может отправлять аутентификацию
только для этой комбинации пути и реалма.
> A client SHOULD assume that all paths at or deeper than
> the depth of the last symbolic element in the path field
> of the Request-URI also are within the protection space
> specified by the Basic realm value of the current
> challenge.
()
>
> ее
То есть spy.cgi получит пароль только, если он расположен в
каталоге /supersecret или ниже. Таким образом, можем для
авторизации назначить REWRITE на какой-нибудь каталог,
положить туда авторизационный скрипт, и больше ни для чего
этот каталог не использовать.
С уважением, Арсений Когут
====================================
Millenium Distribution group
mailto:freegate@mdgroup.ru
363-3252 доб. 169
===========
Оценивайте свой успех по тому, чем Вам пришлось пожертвовать, чтобы добиться
его.
Давайте людям больше, чем они ожидают, и делайте это радостно.
Помните, что Ваше Я - есть конечная точка Вашего путешествия.
Thursday, February 28, 2002, 7:01:38 PM, Вы писали:
KV> On Thu, 28 Feb 2002, Eugene B. Berdnikov wrote:
>> >
>> > Вот пример механизма
>> > - автор spy.cgi идет (по http) на supersecret/.... и смотрит там Realm
>> > - и выдает, соответственно, такой же.
>>
>> Мысль, конечно, интересная, хотя надо суметь заманить уже авторизованного
>> юзера на свою страничку, да потом подсунуть ему nph-скрипт, выдающий 401...
>> Хотя в принципе реализуемо.
>>
KV> Да НИЧЕГО не нужно. То есть ВООБЩЕ. Netscape и MS IE, если их однажды
KV> /supersecret/ попросил авторизоваться будут выдвать ВСЕ пароли на
/~someuser/
KV> даже если тот ВООБЩЕ не запрашивает авторизацию ! Это я сглупил про realm'ы
KV> все на самом деле куда хуже (или лучше - смотря с какой стороны смотреть :-)
KV> Все просто: если Netscape не будет этого делать, то ему придется на каждую
KV> защищенную страничку посылать два запроса (один - без пароли и после
KV> получения отлупа - второй уже с паролем), что замедлит процесс просмотра и
KV> заставит тупого клиента обратится к продукции конкурента. А что пароль, в
KV> общем-то, "на деревню дедушке" высылается, когдя его о том совсем даже не
KV> просят - всем наплевать. Конечно это не работает с links'ом каким-нибудь,
KV> но много ли народу запускают links, чтобы на защищенный сайт зайти ?
>> А меня посетила такая мысль: через ptrace(2) во многих юниксах можно
>> получить все данные, которые передает клиент - для этого достаточно,
>> чтобы uid, под которым выполняются cgi-ные скипты, совпадал с uid'ами
>> апачевых дочек.
>>
>> Так что это защита от "честных воров" получается? :)
KV> Это ДРУГАЯ атака. И от нее тоже можно закрыться (например выключив ptrace
KV> вообще). Но:
KV> 1. Она сложнее реализуема...
KV> 2. Она автоматически закрыта в случае использования suexec'а ...
KV>
=============================================================================
KV> = Apache-Talk@lists.lexa.ru mailing list
=
KV> Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to
quit.
KV> = Archive avaliable at
=
=============================================================================
= Apache-Talk@lists.lexa.ru mailing list =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
= Archive avaliable at =
