ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Single Sign On with Nginx



Mikhail Fursov wrote:

2) Должна быть указан URL страницы на которую переходить при ошибке аутентификации. Тут важно передать странице с ошибкой полную информацию об аутентификации - логин, пароль, тип ошибки (если возможно). В Apache этого нет, поэтому когда происходит ошибка аутентификации и пользователя требуют заново ввести пароль совсем непонятно по какой причине: его аккаунт заблокирован, задан неправильный пароль etc. Это очень неудобно.

Зато правильно с точки зрения безопасности - при отказе в доступе не происходит раскрытия информации. Удивительно, что вы не знаете таких базовых вещей.

А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя ему последовательно подобрать логин, а затем пароль.

Вы ведь не ограничиваете кол-во неудачных попыток авторизации?


--
Best regards,
Andrew A. Kopeyko <kaa@xxxxxxxx>
http://www.zvuki.ru/

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.