Thread ENV: REMOTE_USER ist nicht gesetzt
(46 answers)
Opened by rosti at 2024-05-26 09:48
Eine interessante Sache noch: Da ein HTTP-Authorization-Header über die gesamte Browsersession gesendet wird, auch dann wenn man zwischendurch völlig andere Authorities requestet, ist es möglich je nach Benutzer/Gruppe die Routingtable zu erweitern. Und zwar derart, daß bestimmte URLs eben erst nach einer Anmeldung erreichbar sind, andererseits jedoch einen Status 404 Not Found liefern.
Also, daßß hinter http://rolfrost.de/stats.html eine Anmeldung steckt ist nach außen hin gar nicht sichtbar, denn der böse Bot bekommt anstelle eines 401 einen 404. Und daß in der an http://rolfrost.de/stats.html gebundenen Responseklasse gar keine Benutzerkennung mehr geprüft werden muß. D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann! Last edited: 2024-06-06 11:47:41 +0200 (CEST) |