REMOTE_USER an ErrorDocument (mod_perl und Apache)

[thread]17318[/thread]

REMOTE_USER an ErrorDocument

Tags: perl5 apache ErrorDocument Ähnliche Threads

Leser: 17

Articles: hide open all | hide show old branches

+6 replies
GwenDragon

2012-04-14 11:03
User since
2005-01-17
14748 Artikel
Admin1
Auf einem Server existiert u. a. der Eintrag in der Konfiguration:
Code: (dl )

1 2 3

ErrorDocument 403 /cgi-bin/errorpage.pl/403 ErrorDocument 404 /cgi-bin/errorpage.pl/404 ErrorDocument 401 /cgi-bin/errorpage.pl/401
Das Skript erzeugt diverse Fehlerseiten.

Ist es möglich, nach einem Login per Auth Basic an das Skript die Umgebungsvaraiable REMOTE_USER weiter zu geben?
Wenn ich $ENV{REMOTE_USER} auslesen will, ist die leer, egal ob das Login fehlschlug oder nicht.
Wenn ich $ENV{REMOTE_USER} in einem Skript auslese, dass per Auth Basic geschützt ist, klappt das.

//EDIT: Da hat jemand früher geglaubt, er könnte Loginfehlschläge loggen. Nun muss ich beweisen, dass es so (nicht) geht.

Wisst ihr eine Lösung?

//EDIT: Hatte ich auch mal ähnlich in Skript ErrorDocument: loggt bei Login 401 Fehler ;)
Last edited: 2012-04-14 11:39:12 +0200 (CEST)
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +5 replies
- GwenDragon
  
  2012-04-14 11:32
  User since
  2005-01-17
  14748 Artikel
  Admin1
  Ganz schlaue würden ja sowas machen:
  
  Code: (dl )
  
  RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
  
  Leider ist im ErrorDocument-Skript auch $ENV{HTTP_AUTHORIZATION} leer.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +4 replies
  - jan
    
    2012-04-14 11:51
    
    User since
    2003-08-04
    2536 Artikel
    ModeratorIn
    
    Ich verstehe nicht ganz, was Du mit
    
    Quote
    Wenn ich $ENV{REMOTE_USER} auslesen will, ist die leer, egal ob das Login fehlschlug oder nicht.
    meinst. Das Script wird doch nur bei fehlgeschlagenem Login ausgeführt. Und da stimme ich dir zu: das geht nicht und darf nicht gehen, weil $ENV{REMOTE_USER} bedeutet, dass die Authentifizierung geklappt hat.
    - +3 replies
    - GwenDragon
      
      2012-04-14 12:19
      
      User since
      2005-01-17
      14748 Artikel
      Admin1
      
      2012-04-14T09:51:52 jan
      Das Script wird doch nur bei fehlgeschlagenem Login ausgeführt.
      Dem ist nicht so. Es wird immer aufgerufen.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +2 replies
      - jan
        
        2012-04-14 23:03
        
        User since
        2003-08-04
        2536 Artikel
        ModeratorIn
        
        Klar, Du hast natürlich völlig recht und das macht auch Sinn, weil das Script ja vom HTTP-Status abhängt, nicht von der Autorisierung.
        
        Aber: wird das Script auch bei erfolgreichen Autorisierungen ausgeführt? Das sollte imho nicht so sein.
        
        Client => GET /
        Server => 401/403 => Script läuft
        Client => GET / [auth]
        Server => 200 OK => Script läuft nicht, weil kein 40*
        
        Oder?
        Grundsätzlich bleibe ich aber dabei: fehlgeschlage Logins dürfen nicht über die $ENV{'REMOTE_USER'} abfragbar sein, weil das eben impliziert, dass der user authentifiziert wurde. Ich vermute, FAIL_REMOTE_USER wurde damals einfach vergessen weil niemand vorhersah, dass jemand bruteforce-attacken fahren würde.
        
        Bliebe als alternative nur, die Authentifizierung über mod_perl zu erledigen und den (bzw einen anderen) Eintrag in die Umgebungsvariablen zu setzen.
        
        GwenDragon
        
        2012-04-16 10:46
        
        User since
        2005-01-17
        14748 Artikel
        Admin1
        
        2012-04-14T21:03:34 jan
        Aber: wird das Script auch bei erfolgreichen Autorisierungen ausgeführt? Das sollte imho nicht so sein.
        Sobald die geschützten URL abgerufen werden, und das Auth-Popup erscheint, wird das Skript getriggert.
        
        Meiner Interpretation nach sollte das ErrorDocument aber nur bei einem Fehler getriggert werden. Wie soll ich denn das sonst interpretieren, wenn dort "some error or problem" steht?
        http://httpd.apache.org/docs/2.2/en/mod/core.html#errordocument
        In the event of a problem or error, Apache can be configured to do one of four things,
        http://httpd.apache.org/docs/2.1/custom-error.html
        Additional functionality allows webmasters to configure the response of Apache to some error or problem.
        
        Quote
        Grundsätzlich bleibe ich aber dabei: fehlgeschlage Logins dürfen nicht über die $ENV{'REMOTE_USER'} abfragbar sein, weil das eben impliziert, dass der user authentifiziert wurde.
        Ja, ich weiß es doch. ;)
        In der Umgebungsvariable REMOTE_USER steht nur was, wenn die Authentifizierung klappte.
        die Drachin Gwen
        
        Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten

View all threads created 2012-04-14 11:03.