Opened by GwenDragon at 2012-04-14 11:03
User since
2003-08-04
2536 Artikel
ModeratorIn
![[Homepage]](/battie/theme/default/homepage.gif)
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2003-08-04
2536 Artikel
ModeratorIn
Klar, Du hast natürlich völlig recht und das macht auch Sinn, weil das Script ja vom HTTP-Status abhängt, nicht von der Autorisierung.
Aber: wird das Script auch bei erfolgreichen Autorisierungen ausgeführt? Das sollte imho nicht so sein.
Client => GET /
Server => 401/403 => Script läuft
Client => GET / [auth]
Server => 200 OK => Script läuft nicht, weil kein 40*
Oder?
Grundsätzlich bleibe ich aber dabei: fehlgeschlage Logins dürfen nicht über die $ENV{'REMOTE_USER'} abfragbar sein, weil das eben impliziert, dass der user authentifiziert wurde. Ich vermute, FAIL_REMOTE_USER wurde damals einfach vergessen weil niemand vorhersah, dass jemand bruteforce-attacken fahren würde.
Bliebe als alternative nur, die Authentifizierung über mod_perl zu erledigen und den (bzw einen anderen) Eintrag in die Umgebungsvariablen zu setzen.
Aber: wird das Script auch bei erfolgreichen Autorisierungen ausgeführt? Das sollte imho nicht so sein.
Client => GET /
Server => 401/403 => Script läuft
Client => GET / [auth]
Server => 200 OK => Script läuft nicht, weil kein 40*
Oder?
Grundsätzlich bleibe ich aber dabei: fehlgeschlage Logins dürfen nicht über die $ENV{'REMOTE_USER'} abfragbar sein, weil das eben impliziert, dass der user authentifiziert wurde. Ich vermute, FAIL_REMOTE_USER wurde damals einfach vergessen weil niemand vorhersah, dass jemand bruteforce-attacken fahren würde.
Bliebe als alternative nur, die Authentifizierung über mod_perl zu erledigen und den (bzw einen anderen) Eintrag in die Umgebungsvariablen zu setzen.