服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 问题与安全login – 为什么我被redirect到不安全的login?
Intereting Posts
如何判断一个网站是否使用Akamainetworking 如何configuration2个网卡和2个网关(第二个作为故障转移)的Ubuntu服务器? 如何限制只从自定义源服务器访问cloudfront? 允许使用firewalld的一个接口的所有规则 HttpErr中的Timer_ConnectionIdle 我怎样才能知道哪些ip我有Linux vps服务器? Server 2012 – 任务计划程序vbs文件卡在“OpenWith.exe” Puppet 3.0.0错误:无法创build资源来pipe理部分中的Puppet文件和目录 readlink:非法选项 – f 将IIS 7.5configuration为符合FIPS 140.2 当我杀死-9或拉动力量时,究竟会发生什么? 在失败的实例之后重新安装WSUS Apache的mod_cache没有cachingFCGI的PHP输出 可以使用默认联系人自动填充Lync客户端 将静态私有IP分配给EC2实例

问题与安全login – 为什么我被redirect到不安全的login?

我有一些问题得到一个网站在我的工作地点工作。 当安全login网站发生“双重login”时,问题就被渲染了。 第二次login实际上是由HTTP域而不是HTTPS提示的。

实质上情况是这样的:

  • 用户导航到https://mysite.com/something
  • popuplogin提示符
  • input用户名和密码
  • 用户被提出了另一个login提示(IE会说它的不安全,地址栏反映)
    • 如果用户input的密码不安全,他们将login到不安全的站点。
    • 如果他们点击取消,则会显示一个401页面
  • 导航回https://somesite.com/something将通过login提示并自动login到安全站点(cookie可能)

我有点困惑,为什么用户没有正确login第一次(redirect到非SSL),但任何连续login将是好吗? 我一直在试图使用提琴手来看看发生了什么事后,用户在第一次input他们的密码,并试图让小提琴手自动login到网站(没有运气)

我相信有问题的网站正在使用基本摘要身份validation。

谢谢你的帮助

听起来就像服务器正在通过一个位置标题传递到另一个页面(或刚刚被authentication)之后。

根据服务器(对于端口80和443)的configuration方式,页面也可以简单地编码到http://页面(端口80),在这个页面上你还不会authentication(再次,取决于结构)。

您可以检查HTTP标头,并报告是否有位置标题,或者如果authentication编码设置为“重新定向到成功页面”。

基本和摘要authentication使浏览器添加一个名为Authorization的标头。 服务器可以自由阅读或忽略它。 如果有一个身份validationcookie设置,它可能会忽略它。 该cookie是会话cookie。 它将被称为ASPSESSIONID,JSESSIONID,PHPSESSIONID或类似的东西。

以下是正在发生的事情:

  1. 第一次login失败,通过HTTPS。 很难说清楚为什么,我正在使用心理debugging 。
  2. 你被redirect到一个http页面。 服务器被configuration为要求基本/摘要validation,这是。
  3. 你input你的凭证,这次被接受。 服务器给你一个会话cookie
  4. 回到HTTPS,服务器忽略Authorization头(很可能会失败),因为有一个会话cookie。

要解决此问题,您必须了解为什么第一个身份validation被拒绝。

提琴手是一个代理。 它将无法看到安全login页面的encryption内容。 您需要在浏览器中添加一个插件来查看HTTP标头。 如果您使用标题更新您的问题,请注意。 基本身份validation是base64中的纯文本密码。