Single Sign On with Nginx

[Mikhail Fursov]

2010/2/26 Andrew Kopeyko <kaa на zvuki.ru>

> Mikhail Fursov wrote:
>
>>
>> 2) Должна быть указан URL страницы на которую переходить при ошибке
>> аутентификации. Тут важно передать странице с ошибкой полную информацию об
>> аутентификации - логин, пароль, тип ошибки (если возможно). В Apache этого
>> нет, поэтому когда происходит ошибка аутентификации и пользователя требуют
>> заново ввести пароль совсем непонятно по какой причине: его аккаунт
>> заблокирован, задан неправильный пароль etc. Это очень неудобно.
>>
>
> Зато правильно с точки зрения безопасности - при отказе в доступе не
> происходит раскрытия информации. Удивительно, что вы не знаете таких базовых
> вещей.
>
> А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя ему
> последовательно подобрать логин, а затем пароль.
>
> Вы ведь не ограничиваете кол-во неудачных попыток авторизации?
>
>
Я не гуру в разработке веб-серверов но не вижу тут никакого раскрытия
информации. На error-document шли бы те же данные, что ввел сам
пользователь. Что из них ожно раскрыть? Код ошибки - его можно и убрать
вообще, тк его можно воспроизвести из login/password непосредственно на
error-document.


-- 
Mikhail Fursov
----------- следущая часть -----------
Вложение в формате HTML было извлечено&hellip;
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20100226/aac85141/attachment.html>