Thread ENV: REMOTE_USER ist nicht gesetzt (46 answers)
Opened by rosti at 2024-05-26 09:48

rosti
 2024-06-04 19:19
#196355 #196355
User since
2011-03-19
3470 Artikel
BenutzerIn
[Homepage]
user image
Eine interessante Sache noch: Da ein HTTP-Authorization-Header über die gesamte Browsersession gesendet wird, auch dann wenn man zwischendurch völlig andere Authorities requestet, ist es möglich je nach Benutzer/Gruppe die Routingtable zu erweitern. Und zwar derart, daß bestimmte URLs eben erst nach einer Anmeldung erreichbar sind, andererseits jedoch einen Status 404 Not Found liefern.

Also, daßß hinter http://rolfrost.de/stats.html eine Anmeldung steckt ist nach außen hin gar nicht sichtbar, denn der böse Bot bekommt anstelle eines 401 einen 404.

Und daß in der an http://rolfrost.de/stats.html gebundenen Responseklasse gar keine Benutzerkennung mehr geprüft werden muß.

D.H. daß man auch mit HTTP Authorization eine Zugangskontrolle vom Code vollständig trennen kann!
Last edited: 2024-06-06 11:47:41 +0200 (CEST)

View full thread ENV: REMOTE_USER ist nicht gesetzt