אימות מובנה בכניסה לדף
-
מצוי כשנכנסים לראוטר, שקופצת הודעה מובנית בדפדפן שמבקשת שם משתמש וסיסמא.
איך זה מתבצע?
זה JS? או ברמת ה respone? -
זה נקרא basic authentication, וזה עובד ברמת הResponse.
השרת מגיב 401 שזה לא מורשה + כותרת:
WWW-Authenticate: Basicהדפדפן מקפיץ את ההודעה שדרושה סיסמה, ואז הדפדפן מקודד את השם והסיסמה לbase64, ושולח את זה בכותרת בשם Authorization בכל בקשה ובקשה.
https://en.wikipedia.org/wiki/Basic_access_authentication -
התשובה (שם המשתמש וסיסמא) נשלחים לשרת בסטירנג אחד מופרדים ב : (לאחר המרה מ base 64).
אבל מה עושים עם שם המשתמש ו/או הסיסמא מכילים בעצמם :.
לדוגמא:
MTI6MzQ6NDU6Nzk=
? -
אני רואה בויקיפדיה שזה אומר ששם המשתמש לא יכול להכיל :
-
@מנצפך אמר באימות מובנה בכניסה לדף:
@dovid תודה.
אגב אם אני סוגר את הדף ופותח אותו הוא שולח שוב את ה Headers?התנהגות הדפדפן היא למחוק את המידע תוך כמה דקות מהפעילות האחרונה.
דפדפן דפוק לא בהכרח יעשה כך וממילא זה סיכון אבטחה שמישהו יבוא ארבע שעות אחריך ויידע את הסיסמה.
6/9