問題タブ [http-authentication]

C++ で記述された Windows ベースのアプリケーション (基本的には HTTP/1.1 プロキシ サーバー) は、さまざまなユーザーからの要求をリッスンします。現在、407 Basic Challenge を送信し、ヘッダーからの応答を処理できます。クライアント ブラウザが認証のために NTLM ベースの応答を行うように、チャレンジ ヘッダーを変更する必要があることはわかっています。しかし、私の質問は、407 認証チャレンジ用の正しいトークン、ノンスなどをどのように生成し、受信した応答が正しいかどうかをどのように検証するのですか? 最後に、可能であればクライアントのユーザー名とその他の LDAP / ADS プロパティを記録したいと思います。

親切にしてください。同様のことを議論するスレッドが既にある場合は、正しい投稿にリダイレクトしてください。WWW に関するほとんどの調査では、HTTP サーバーで実行する必要があるコーディングについては、クライアント側のプログラミングにしかたどり着きません。

ここにいる素晴らしいハックの皆さん、事前に大きな感謝を。

私が開発しているツールは、Facebookに参加するときと同じようなことをし、GMailのユーザー名とパスワードを尋ねると、すべての連絡先を取得できます。

しかし、私のツールはブラウザを使用していないため、適切なヘッダーを取得するのは困難です。Googleアプリケーション（Orkut）は、認証方法としてCookieとID（ip、マシン名、ユーザーエージェント）のみをチェックすると思います。この場合、必要なのは適切なCookieを取得することだけです。

パラメータPasswd=realPasswordHere＆Email = mymail@gmail.comを使用してhttps://www.google.com/accounts/ServiceLoginAuth?service=orkutに電話をかけようとしました。しかし、応答はSet-Cookieを使用した同様のHTMLでした：GALX = A9iBuq7y5xU; Path = / accounts; Secure

これらのCookieはどれも本物ではありません。自分で試しましたか？あなたはそれを行う方法を知っていますか？それを行うオープンソースプロジェクトを見たことがありますか？

ボットがイントラネット上の MediaWiki インストールにログインするのに問題があります。ウィキを保護する http 認証によるものだと思います。

事実:

1. wiki ルートはhttps://local.example.com/mywiki/です。
2. Web ブラウザーで Wiki にアクセスすると、企業の資格情報を求めるポップアップが表示されます (これは基本的なアクセス認証だと思います)。

これは私のuser-config.pyにあるものです:

これは私が mywiki_family.py に持っているものです:

login.py -v -v を実行すると、次のようになります。

(「/mywiki」ではなく「local.example.com/w」になっている理由がわかりません。)

example.com/wiki ではなく example.com に対して認証しようとしているのではないかと考えたので、認証行を次のように変更しました。

しかし、IIS から HTTP 401.2 エラーが返されます。

Web サーバーが受け入れるように構成されていない WWW-Authenticate ヘッダー フィールドを Web ブラウザーが送信しているため、指定した資格情報を使用してこのディレクトリまたはページを表示する権限がありません。

これを機能させる方法についての助けをいただければ幸いです。

更新家族ファイルを修正した後、次のように表示されます。

サイト mywiki:en の情報を取得しています ('http エラー', 401, '無許可', ) 警告: 「https://local.example.com/mywiki/index.php?title=Non-existing_page&action=edit&useskin=を開けませんでした」モノブック」。サーバーまたは接続がダウンしている可能性があります。1 分後に再試行しています...

プランの urllib2.ulropen 呼び出しで HTTP ヘッダーを調べたところ、WWW-Authenticate: Negotiate WWW-Authenticate: NTLM を使用しています。私はurllib2を推測しているので、pywikipediaはこれをサポートしていませんか?

更新これを機能させるのに役立つおいしい報奨金を追加しました。python-ntlm を使用して認証できます。これをpywikipediaに統合するにはどうすればよいですか?

php5isapi.dllを使用してPHP5.2.3から、FastCGIとphp-cgi.exeを使用してPHP5.3.0に移行しました。このサイトには、次のようなことを行うwindows / ntlm/http認証用のフックがあります。

これは、isapiを使用したPHP5.2.3でうまく機能しました。IIS6でFastCGIに移行したので、壊れています。それは私のために働きます、しかし私はサーバー上に管理者を持っています。管理者がいない人（ほとんどの人）には、次のいくつかのバリエーションがあります。

ドキュメントとログファイルを調べてみましたが、うまくいかないようです。.phpファイルにアクセスするためにリモートユーザー名を実際に使用するのは望ましくありません。名前を取得してデータベースと照合するだけです。anonユーザーは、実際のphp実行を行うユーザーである必要があります。

リードはありますか？

App Engine Dev Server をセットアップして、他のユーザーがプレビューできるようにしたいと考えています。

その前に本当にやりたいことは、そのサイトから提供されるすべての URL に対して HTTP 認証を有効にすることです。その段階を経ずに、誰もサービスにアクセスしたくありません。もちろん、開発中のアプリに独自の HTTP 認証を組み込むこともできますが、それは完全な解決策ではありません。アプリの展開時にその機能は必要ないからです。

それを解決する良い方法はありますか？

Web アプリケーションのモジュールとして一種のサーバー エクスプローラーを開発しましたが、実際にうまく機能します。私はいくつかの改良を行っていますが、対処方法がよくわからない問題が 1 つあります。

エクスプローラーは主に、指定したフォルダーとサブフォルダーから画像を選択するために使用されます。一部の学校は施設外への写真の配布に関心があるため、必要に応じて、.htaccess を使用して写真を保護するオプションを提供しました (実際には、.htaccess を設定する Web インターフェイス経由)。

.htaccess で保護されているフォルダーにアクセスしようとすると、そのフォルダー内のすべての画像のパスワードを求められます。教師は主要なイベントごとに 100 枚以上の写真を作成し、それを 1 つのフォルダーに詰め込む傾向があることに注意してください。そのため、ブラウザーが 100 個以上のダイアログ ボックスを開くことも珍しくありません。

バックエンドで Perl を実行しているので、コンテンツを jQuery に配信する前に、特定のフォルダーが保護されているかどうかを確認できると考えました。問題は、親フォルダーからの .htaccess によって画像を保護することもできることです。

写真を配布する前に、部外者がこれらの写真 (またはファイルを一般的なものにして他の用途に使用できるようにするため) にアクセスできるかどうかを確認する安全な方法はありますか?

編集 - .htaccess ファイルを追加
## OLEFA AUTH START ##
AuthType Basic
AuthName "192.168.1.120/resources/images/accesstest"
AuthUserFile /home/mike/workspace/olefa//resources/images/accesstest/.htpasswd
require valid-user
## OLEFA 認証終了 ##

Panther、Tiger、および Leopard システムで実行されているプログラムがあり、NSURLConnection 認証に次の方法を使用しています (「encodedUserPass」は、Basic という単語の後に base64 でエンコードされた user:pass が続く認証文字列です)。

...後で... didReceiveAuthenticationChallengeで

これは、Panther および Leopard システムでは問題なく動作しますが、Tiger では完全に失敗します。ただし、Panther と Leopard でさえ、通常 "didReceiveAuthenticationChallenge" が呼び出されるのは奇妙です (つまり、ヘッダーを手動で設定しても機能しないようです)。

Tiger では、didReceiveAuthenticationChallenge が常に呼び出され、上記のように応答しようとし、失敗して再度呼び出されます。

2 つの質問: (i) ヘッダーを手動で設定しても機能しないのはなぜですか? (2) 上記の方法が Tiger (10.4) で失敗するのはなぜですか?

後で更新:

少し考えた後、base64 エンコード方法に何か問題があるに違いないことに気付きました。base64 文字列を 4 の倍数にするために等号を追加していませんでした。私はそれを解決しました

そして今、このプログラムは 3 つのプラットフォームすべてで動作します。したがって、質問 (i) は答えられます。等号でパディングしていなかったため、ヘッダーを手動で設定しても機能しませんでした。

ただし、疑問 (ii) は残ります。Tiger で didReceiveAuthenticationChallenge を正常に使用できないのはなぜですか?

最近、基本認証の記事でこの単語に出くわしました。ネットワーク上のbase64クリアテキストのusrnameとパスワードとはどういう意味ですか？

ありがとう

Apache、lighttpd、nginx などの Web サーバーで HTTP 基本認証を使用すると、パフォーマンスにどのような影響があるか知りたいです。ボトルネックは、ユーザーを認証するためにサーバーが実際にファイルを読み取ることだと思います。また、ユーザーを認証するためにファイルを読み取るコストは、そのファイル内のユーザー数に比例するようです。

私が持っている質問は次のとおり
です。1.ファイルを介した基本認証が劇的に低下し始める特定のユーザー数はありますか、それともファイル内のユーザー数に比例しますか?
2. HTTP のステートレスな性質を考慮して、ユーザーが 1 つの要求で Web サーバーによって HTTP Basic Auth を使用して認証された
場合:これは有効なユーザーからの要求ですか?
または
-後続のリクエストでhttpヘッダーで使用するトークンのようなものを取得して、サーバーがパスワードファイルを再度解析するのを回避できるようにしますか?

前もって感謝します

私の夢は、標準のAMIを起動し、小さなスクリプトをロードして、適切に構成されたサーバーインスタンスを作成できるようにすることです。

これの一部は、S3に独自のコードを含むPRIVATEyumリポジトリを作成したいということです。

S3は、パブリックにするか、AMZN独自の特別な認証フレーバーを使用することを望んでいるようです。

標準のHTTPS+S3で基本認証またはダイジェスト認証を使用する方法はありますか？私はS3への直接参照について話しているのであって、S3に到達するためにWebサーバーを経由するのではありません。

答えが「いいえ」の場合、AWS Authサポートをyumに追加することを考えた人はいますか？