Single Sign On with Nginx

Andrew Kopeyko kaa на zvuki.ru
Пт Фев 26 10:03:40 MSK 2010


Mikhail Fursov wrote:
> 
> 2) Должна быть указан URL страницы на которую переходить при ошибке 
> аутентификации. Тут важно передать странице с ошибкой полную информацию 
> об аутентификации - логин, пароль, тип ошибки (если возможно). В Apache 
> этого нет, поэтому когда происходит ошибка аутентификации и пользователя 
> требуют заново ввести пароль совсем непонятно по какой причине: его 
> аккаунт заблокирован, задан неправильный пароль etc. Это очень неудобно.

Зато правильно с точки зрения безопасности - при отказе в доступе не 
происходит раскрытия информации. Удивительно, что вы не знаете таких 
базовых вещей.

А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя 
ему последовательно подобрать логин, а затем пароль.

Вы ведь не ограничиваете кол-во неудачных попыток авторизации?


-- 
Best regards,
Andrew A. Kopeyko <kaa at zvuki.ru>
http://www.zvuki.ru/



Подробная информация о списке рассылки nginx-ru