Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Single Sign On with Nginx
Mikhail Fursov wrote:
2) Должна быть указан URL страницы на которую переходить при ошибке
аутентификации. Тут важно передать странице с ошибкой полную информацию
об аутентификации - логин, пароль, тип ошибки (если возможно). В Apache
этого нет, поэтому когда происходит ошибка аутентификации и пользователя
требуют заново ввести пароль совсем непонятно по какой причине: его
аккаунт заблокирован, задан неправильный пароль etc. Это очень неудобно.
Зато правильно с точки зрения безопасности - при отказе в доступе не
происходит раскрытия информации. Удивительно, что вы не знаете таких
базовых вещей.
А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя
ему последовательно подобрать логин, а затем пароль.
Вы ведь не ограничиваете кол-во неудачных попыток авторизации?
--
Best regards,
Andrew A. Kopeyko <kaa@xxxxxxxx>
http://www.zvuki.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru
|
