Single Sign On with Nginx
Andrew Kopeyko
kaa на zvuki.ru
Пт Фев 26 10:03:40 MSK 2010
Mikhail Fursov wrote:
>
> 2) Должна быть указан URL страницы на которую переходить при ошибке
> аутентификации. Тут важно передать странице с ошибкой полную информацию
> об аутентификации - логин, пароль, тип ошибки (если возможно). В Apache
> этого нет, поэтому когда происходит ошибка аутентификации и пользователя
> требуют заново ввести пароль совсем непонятно по какой причине: его
> аккаунт заблокирован, задан неправильный пароль etc. Это очень неудобно.
Зато правильно с точки зрения безопасности - при отказе в доступе не
происходит раскрытия информации. Удивительно, что вы не знаете таких
базовых вещей.
А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя
ему последовательно подобрать логин, а затем пароль.
Вы ведь не ограничиваете кол-во неудачных попыток авторизации?
--
Best regards,
Andrew A. Kopeyko <kaa at zvuki.ru>
http://www.zvuki.ru/
Подробная информация о списке рассылки nginx-ru