Pagina protetta con autenticazione di base accessibile senza intestazione ma non da IP diversi

Naviga le tue risposte
1

Sto guardando un sito Web che utilizza l'autenticazione di base per autorizzare gli utenti.

Quando guardo la richiesta, una volta autenticato, aggiunge l'intestazione Authorization: Basic cm9vdDpwYXNzd29yZA== (sono consapevole che questo è solo codificato in Base64).

Ora, se rimuovo l'intestazione Authorization dalla richiesta, funziona comunque bene. Anche se rieseguo la richiesta con curl , senza l'intestazione Authorization funziona correttamente. Ma se eseguo lo stesso comando curl su un altro computer, ottengo 401 Unauthorized .

L'autenticazione di base è in qualche modo accoppiata con l'indirizzo IP o qualcos'altro che identifica il client?

In che modo viene eseguita l'autorizzazione in questo caso?

modifica: sono perplesso. Lo scenario descritto non è più riproducibile. Sta succedendo qualcosa di strano.

    
posta SaAtomic 31.01.2017 - 11:05
fonte

1 risposta

1

Direi che una delle due cose sta succedendo qui:

  • Il server ha archiviato il tuo IP contro il tuo account : in questo modo puoi accedere per accedere alla risorsa dal tuo IP anche senza dover eseguire l'auth ogni volta. Non un'idea brillante.

  • Memorizzazione nella cache : il tuo computer o ISP memorizzava nella cache quella pagina (se era l'ISP - male) e ti offriva tale risorsa invece di inviare nuovamente la richiesta.

Caso improbabile: il server aveva alcuni problemi di memorizzazione nella cache e stava servendo a tutti la risorsa per errore. Il motivo per cui probabilmente non funziona più è che l'autorizzazione sul tuo IP è scaduta.

    
risposta data 31.01.2017 - 11:48
fonte

Leggi altre domande sui tag

un'unica soluzione di architettura sicura per meno di 4 minacce Che cosa significa questo errore Hydra?