どさにっき2006年3月11日(土) ■ Basic 認証の突破のしかた・その1 _ たまに Basic認証をかけたサイトの一部で認証をdisableするにはみたいなことをやりたいなんて要望を目にする。これが実現可能かどうかといえば可能で、リンク先に書いてあるとおりやればいい。 _ でも、これ危険だと思うのよ。 _ /a/ という URL では認証を要求するが、/a/b/ では認証不要、とした場合。まず /a/ にアクセスして認証にパスし、そのあと /a/b/ にアクセスすると、認証が不要なのにもかかわらず、ブラウザはユーザ、パスワードを送ってしまう。ブラウザを起動してから /a/ に一度もアクセスせずに /a/b/ にアクセスした場合は認証情報は送られない。 _ /~hoge/ はユーザに開放してるけど、/ は管理用の情報が置いてあって認証が必要、なんて構造になっているとあぶない。管理者が認証つき
はてなブログ | 無料ブログを作成しよう
