Safari non richiede l'autenticazione di base

0

Il nostro sito Web fornisce collegamenti ipertestuali a software di terze parti che richiede l'autenticazione di base. In precedenza, un utente farebbe clic sul collegamento, verrebbe indirizzato al nuovo URL e verrà visualizzata una richiesta di autenticazione. Nel recente aggiornamento Safari non richiede più l'autenticazione e agli utenti viene immediatamente restituito un errore 401 non autorizzato. Se ricarichi la pagina, verrà richiesto. Incollare l'URL direttamente nella barra degli indirizzi funziona correttamente.

Questo non è dovuto alla cache o ai cookie. Posso confermare che stava funzionando bene in macOS Safari 11.0.1 ed è rotto in 11.0.2. Chrome non presenta questo comportamento. Ho anche confermato lo stesso problema relativo a iOS Safari, ma non ho versioni isolate.

Il caricamento di una pagina di prova dal mio HDD locale non dà lo stesso problema, ma quando viene ospitato tramite IIS (sul nostro server web o sul mio computer di sviluppo) fallisce ogni volta. Una pagina di esempio è ospitata qui:

link

Si collega a un server di autenticazione di prova qui (questo server di test non visualizza un errore 401, ma dovrebbe comunque mostrare la finestra di autenticazione):

link

Qualcuno l'ha già visto prima o trovato una soluzione? Sto anche segnalando questo ad Apple, ma dal momento che non sono uno sviluppatore Apple mi aspetto che si perda nel rumore.

Aggiornamento

Un utente sul post sul forum delle comunità di Apple che ho fatto ha affermato che questa è una decisione progettuale di Apple, ma ho ancora per avere più informazioni (o conferma) su questo. Tuttavia, le prove sembrano confermare le sue informazioni: l'errore si verifica solo quando si collega da un sito HTTPS a un sito HTTP.

StackExchange è ospitato in modo sicuro, quindi il collegamento al sito sicuro funziona:
link : //httpbin.org/basic-auth/user/passwd
Mentre non è sicuro:
link : //httpbin.org/basic- auth / utente / passwd

Ho anche segnalato questo tramite lo strumento Apple Bug Reporter. Il mio primo rapporto è misteriosamente scomparso. Ho registrato nuovamente, ma ho anche sentito molti account di segnalazioni di bug a cui non ho mai risposto. Se qualcuno qui ha un riferimento affidabile che questo è un cambiamento intenzionale, sarebbe fantastico. Altrimenti lo considero ancora un bug.

    
posta Ian 15.01.2018 - 02:03
fonte

1 risposta

0

Visto che non riesco a trovare una risposta definitiva pubblica , farò la prossima cosa migliore. Questa è la risposta che ho ricevuto su una segnalazione di bug privata tramite Apple:

This behavior is expected. Following the fix per another bug. We do not prompt for credentials whenever navigating to an insecure web page that requires authentication from a secure web page. Moreover, we do not prompt for credentials when loading an insecure subresource (say, an image) that requires authentication or a secure subresource that requires authentication through an insecure redirect on a secure web page. The motivation for these restrictions is to prevent phishing attacks by a networking attacker who could have replaced the contents of the insecure resource HTTP response with a secure redirect to their own server that prompts for credentials. Although the authentication prompt shows the URL being accessed, a person may not read the prompt closely or, more likely, an attacker can purchase a domain name that could lull a person into falsely believing that the URL is legitimate so that the person submits their credentials to the attacker.

Sto ancora cercando una dichiarazione pubblica di Apple a cui possa essere collegato. Se qualcuno può fornire che lo contrassegnerò come risposta accettata.

UPDATE

Qualcuno con autorità di Apple mi ha contattato per questo. Alla fine mi hanno collegato al documento ufficiale di rilascio che mostrava il comportamento modificato:

Changed to only allow non-mixed content protected sub-resources to ask for credentials. https://webkit.org/blog/8035/release-notes-for-safari-technology-preview-44/ https://developer.apple.com/safari/technology-preview/release-notes/#r44

Abbiamo lavorato con Apple per risolvere l'esperienza utente interrotta causata da questa correzione per la sicurezza. Apple ha ascoltato il nostro feedback e risolto la finestra di dialogo delle credenziali per i collegamenti da una risorsa HTTPS a una risorsa ospitata HTTP. Funziona correttamente ora in Safari su Mojave in poi.

    
risposta data 14.02.2018 - 01:01
fonte

Leggi altre domande sui tag