|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Victor Wagner 2:5020/400 11 Feb 2005 19:44:30
To : Maxim Yemelyanov
Subject : Re: cgi + http auth
--------------------------------------------------------------------------------
Maxim Yemelyanov <maxim@enigmasoft.com.ua> wrote:
MY>Приветствую!
MY>Есть apache без mod_perl, с mod_rewrite (если это чем-то
MY>поможет). Может ли cgi скрипт получить имя и пароль
MY>пользователя, введенные в ответ на "401 Auth Required" ?
Имя - может. $env{'REMOTE_USER'}
С паролем - сложнее. Если долго пинать (как точно - не помню) mod_env,
то можно добиться, чтобы он пароль выставлял в environment. Откуда его,
естественно, скрипт увидит.
Hо это справедливо считается security hole, поскольку увидеть его там
может, вообще говоря, не только твой скрипт.
С другой стороны, а нафига он там нужен? Апач юзера уже
аутентифицировал. Значит мы знаем, что пароль - правильный. Поэтому
можем на основании только имени раздавать любые ресурсы.
--
--- ifmail v.2.15dev5.3
* Origin: Free Net of Leninsky,45 (2:5020/400)
Вернуться к списку тем, сортированных по:
|
Re: cgi + http auth 
