問題タブ [www-authenticate]

Microsoft が利用している 2 つの WWW-Authenticate 追加機能は、私が現在認識しているものです。

• NTLM
• 交渉

Negotiate がサーバーから送信されると、一連の条件に基づいて Kerberos が使用されます

• イントラネット ゾーン
• IP ではなくホスト名を使用してサーバーにアクセスする
• IE の統合 Windows 認証が有効で、ホストが Firefox で信頼されている
• サーバーはブラウザに対してローカルではありません
• クライアントの Kerberos システムがドメイン コントローラーに対して認証されている

次に、サーバーとクライアントの間で Kerberos が試行されます。上記の条件が満たされない場合は、NTLM が試行されます。

私の質問は、サーバーが NTLM を送信してはならないことを示す方法はありますか? 私は現在、セッション内のリクエストを追跡することでこれを処理しており、NTLM メッセージを受信した場合、そのセッションの残りの期間、Kerberos と WWW 認証を無効にしています。

HTTP 応答の WWW-Authenticate ヘッダーに応答して、Firefox がモーダルをポップアップすることに気付きました。その後、Firefox は、Firefox が閉じられるまでユーザー名とパスワードを保存します。Web Developerプラグインを使用すると、開発者向けのユーザーがログアウトできるようになります。しかし、これらのキャッシュされた資格情報を失うには、どの HTTP メッセージをブラウザーに送信する必要があるでしょうか?

認証が必要な Android アプリから Web ページを表示しようとすると、次のメッセージが表示されます。

----- Android webView エラー開始 --------

「Web ブラウザーが WWW.Authenticate ヘッダー フィールドを送信しているため、指定した資格情報を使用してこのディレクトリまたはページを表示する権限がありません。Web サーバーが受け入れるように構成されていません」

HTTP エラー 401.2 = 権限がありません: サーバーの構成が原因でアクセスが拒否されました。インターネット インフォメーション サービス (IIS)。

----- Android webView エラー終了 --------

Android 側には次のようなものがあります: ------- code snip start -----

public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main);

}

------- コードスニップエンド --------

IIS 6.0 側

[認証方法] ダイアログ ボックスで、チェックを外します: [匿名アクセスを有効にする] チェックを入れます: [統合 Windows 認証]

「通常のブラウザ」を使用しているときに「http://123.example.com/admin/default.aspx」に移動すると、ユーザー名とパスワードを求めるダイアログ ボックスが表示されます。入力すると、サイトにアクセスできます。Windowsで設定したユーザー名/パスワードです。

ただし、上記の「コードスニップ」を使用すると、同じユーザー名とパスワードを使用して上記の「エラー」が発生します。

アドバイスを提供するか、そうでなければ私を「正しい」方向に導くことができますか.

HTTP経由でサーバーと通信する.Netでクライアントアプリケーションをプログラミングしています。

NTLMおよびKerberos認証の場合、異なる要求バッファリングオプションを設定する必要があります。

NTLMまたはKerberosが使用されているかどうかを確認するにはどうすればよいですか？'WWW-Authenticate：Negotiate'ヘッダーをなんとかしてデコードすることは可能ですか？

友人からWWW-Authenticate、リモート サーバー上の悪意のある php ファイル内でヘッダーが明示的に定義され、画像の MIME タイプ (例:image/jpegまたはimage/png.

仮定の状況

このファイルがあるmalicious.com/image.phpとします。この画像を任意のフォーラムのフォーラム署名に追加します。具体的には、gaiaonline.com. 別の訪問者が私の投稿のあるスレッドにアクセスすると、WWW-Authenticateヘッダーで指定されたログイン プロンプトが表示されます。訪問者/被害者がユーザー名/パスワードを入力すると、ハッカーはそれをリモートサーバーに保存したり、自分自身に電子メールで送信したりできます.

悪意のあるコード:ヘッダー<img src="malicious.com/image.php" />が含まれています。WWW-Authenticate通常のポスティング/BBコードで入力できます。

これはどのように修正できますか？これにはクロスドメインアクセスが利用できると思います。

ユーザーがHTTP基本認証モードを介してログインできるようにしたい。

問題は、私も彼らが再びログアウトできるようにしたいということです-奇妙なことに、ブラウザはそれをサポートしていないようです。

これは、ソーシャルハッキングのリスクと見なされます。ユーザーはマシンのロックを解除したままブラウザを開いたままにして、他の誰かがサイトに簡単にアクセスできるようにします。ブラウザタブを閉じるだけではトークンをリセットするのに十分ではないため、ユーザーが見逃しやすいことに注意してください。

だから私は回避策を考え出しましたが、それは完全な手がかりです：

1）ログオフページにリダイレクトします

2）そのページでスクリプトを起動して、ダミーのクレデンシャルを使用して別のページをajaxロードします。

3）最初は常に401を返し（新しい資格情報を強制的に渡すため）、その後はダミーの資格情報のみを受け入れる必要があります。

4）これで、ランダムな文字列のクレデンシャルが受け入れられ、代わりにブラウザによってキャッシュされました。彼らが別のページにアクセスすると、それらを使用しようとし、失敗してから、適切なページの入力を求めます。

私のコード例ではjQueryとASP.NetMVCを使用していますが、どのテクノロジスタックでも同じことが可能であることに注意してください。

IE6以降でこれを行う別の方法があります。

ただし、これですべての認証がクリアされます。彼らは私のサイトからログアウトし、電子メールからもログアウトします。これで終わりです。

これを行うためのより良い方法はありますか？

私はこれについて他の 質問を見ましたが、彼らは2歳です-IE9、FX4、Chromeなどで今より良い方法はありますか？

これを行うためのより良い方法がない場合、このクラッジは信頼できますか？それをより堅牢にする方法はありますか？

次のコードを使用して電話に接続し、SMS メッセージを送信しています。

電話はつながりますが、メッセージを送ることができません。エラーが発生していないため、どこからデバッグを開始すればよいかわかりません。

表示されていないコードに何か問題がありますか?

この urlwww.example.comにログインした後、アドレスバーから拡張機能を削除するとwww、ログインの詳細値がセッションごとに保持されません。

プログラムで Microsoft SSRS に接続しようとしています。これは、何らかの方法で www-authentication http ヘッダーを使用して行う必要があると思いますが、正確にはわかりません。

匿名の Web ユーザーとして SSRS にログインする際に問題があるため、これを行っています。クライアントは、ユーザー名とパスワードの入力を求められるべきではありません。

ログインすると、PHP はクライアントとして SSRS 間のリレーとして機能するはずです (ユーザーは PHP ページから SSRS を参照します)。

これを機能させる他の方法がある場合は、叫んでください！

これは私が得た距離です：

出力は次のとおりです。

フォーム ベースの認証を使用する Web アプリがあります。セッション タイムアウトが原因で AJAX 要求が失敗した場合、適切な通知を送信する必要があります。送信できるようです：

• 403 Forbiddenですが、これは「承認は役に立たない」ことを意味し、これは誤りです。
• 401 Unauthorizedですが、応答には「WWW-Authenticate ヘッダー フィールドを含める必要があります」と、フォーム ベースの認証を使用する場合の正確な値に関する情報は限られています。

ユーザーが認証されていないために AJAX 要求が失敗した場合、適切な応答は何ですか?