Mikhail Fursov
February 26, 2010 03:24AM
|
|
2010/2/26 Andrew Kopeyko <kaa@zvuki.ru>
> Mikhail Fursov wrote:
>
>>
>> 2) Должна быть указан URL страницы на которую переходить при ошибке
>> аутентификации. Тут важно передать странице с ошибкой полную информацию об
>> аутентификации - логин, пароль, тип ошибки (если возможно). В Apache этого
>> нет, поэтому когда происходит ошибка аутентификации и пользователя требуют
>> заново ввести пароль совсем непонятно по какой причине: его аккаунт
>> заблокирован, задан неправильный пароль etc. Это очень неудобно.
>>
>
> Зато правильно с точки зрения безопасности - при отказе в доступе не
> происходит раскрытия информации. Удивительно, что вы не знаете таких базовых
> вещей.
>
> А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя ему
> последовательно подобрать логин, а затем пароль.
>
> Вы ведь не ограничиваете кол-во неудачных попыток авторизации?
>
>
Я не гуру в разработке веб-серверов но не вижу тут никакого раскрытия
информации. На error-document шли бы те же данные, что ввел сам
пользователь. Что из них ожно раскрыть? Код ошибки - его можно и убрать
вообще, тк его можно воспроизвести из login/password непосредственно на
error-document.
--
Mikhail Fursov
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://nginx.org/mailman/listinfo/nginx-ru
Subject |
Author |
Posted |
|
Mikhail Fursov |
February 23, 2010 02:34PM |
|
SaveFrom.net |
February 23, 2010 04:50PM |
|
Mikhail Fursov |
February 23, 2010 06:32PM |
|
Daniel Podolsky |
February 23, 2010 07:20PM |
|
Mikhail Fursov |
February 24, 2010 01:50AM |
|
Daniel Podolsky |
February 24, 2010 04:32AM |
|
Mikhail Fursov |
February 25, 2010 11:34AM |
|
Daniel Podolsky |
February 25, 2010 12:36PM |
|
Mikhail Fursov |
February 25, 2010 01:50PM |
|
Daniel Podolsky |
February 25, 2010 03:38PM |
|
Mikhail Fursov |
February 25, 2010 04:42PM |
|
Andrey N. Oktyabrski |
February 26, 2010 03:06AM |
|
Sergej Kandyla |
February 26, 2010 03:58AM |
|
Mikhail Fursov |
February 26, 2010 04:04AM |
|
Sergej Kandyla |
February 26, 2010 04:40AM |
|
Mikhail Fursov |
February 26, 2010 07:54AM |
|
Mikhail Fursov |
February 26, 2010 12:24PM |
|
Mikhail Fursov |
February 26, 2010 12:26PM |
|
Mikhail Fursov |
February 26, 2010 12:30PM |
|
Mikhail Fursov |
February 26, 2010 12:38PM |
|
Andrew Kopeyko |
February 26, 2010 02:04AM |
|
Mikhail Fursov |
February 26, 2010 03:24AM |
|
Andrew Kopeyko |
February 26, 2010 04:38AM |
|
Gena Makhomed |
February 26, 2010 06:18AM |
|
Andrew Kopeyko |
February 26, 2010 06:46AM |
|
Sergej Kandyla |
February 26, 2010 09:32AM |
|
Andrew Kopeyko |
February 26, 2010 10:26AM |
|
Mikhail Fursov |
February 26, 2010 10:38AM |
|
Andrew Kopeyko |
February 26, 2010 10:52AM |
|
Mikhail Fursov |
February 26, 2010 11:14AM |
|
Daniel Podolsky |
February 26, 2010 11:20AM |
|
Mikhail Fursov |
February 26, 2010 11:26AM |
|
Daniel Podolsky |
February 26, 2010 12:18PM |
|
Gena Makhomed |
February 26, 2010 01:04PM |
|
Alex L. Demidov |
February 26, 2010 01:34PM |
|
Gena Makhomed |
February 26, 2010 02:26PM |
|
Alex L. Demidov |
February 26, 2010 03:04PM |
|
Gena Makhomed |
February 26, 2010 03:38PM |
|
Andrey N. Oktyabrski |
February 26, 2010 07:18AM |
|
Andrew Kopeyko |
February 26, 2010 08:02AM |
|
Mikhail Fursov |
February 26, 2010 08:00AM |
|
Andrew Kopeyko |
February 26, 2010 08:08AM |
|
Mikhail Fursov |
February 26, 2010 09:38AM |
|
Andrew Kopeyko |
February 26, 2010 10:36AM |
|
Mikhail Fursov |
February 26, 2010 10:44AM |
|
Kirill A. Korinskiy |
February 27, 2010 04:46AM |
|
Daniel Podolsky |
February 27, 2010 05:20AM |
|
Kirill A. Korinskiy |
February 27, 2010 06:54AM |
|
Sergey Averyanov |
February 27, 2010 07:16AM |
|
Kirill A. Korinskiy |
February 27, 2010 01:22PM |
|
Daniel Podolsky |
February 27, 2010 07:34AM |
|
Kirill A. Korinskiy |
February 27, 2010 01:20PM |
|
Daniel Podolsky |
February 27, 2010 04:42PM |
|
Sergej Kandyla |
February 24, 2010 03:20AM |
|
Mikhail Fursov |
February 25, 2010 10:52AM |
|
Kirill A. Korinskiy |
February 27, 2010 04:46AM |