Harald Meißner: .htaccess : Gleiche Kennung in 2 Bereichen -» MS IE verzichtet auf zweite Abfrag

SELF-Forum

.htaccess : Gleiche Kennung in 2 Bereichen -» MS IE verzichtet auf zweite Abfrag

Harald Meißner
Informationen zu den Bewertungsregeln

Hallo,

kann mir bitte jemand folgendes erklären? Der MS IE verzichtet auf zweite Abfrage bei .htaccess.

Ich habe auf dem Server zwei Bereiche A und B (= nebeneinander auf derselben Verzeichnisebene liegende Unterverzeichnisse) unterschieden und jeweils mit einer .htaccess-Datei versehen. Ich selbst habe Zugriff auf beide, und dabei verwende ich dieselbe Kennung und dasselbe Paßwort.

Wenn ich eine Datei aus dem einen Verzeichnis aufrufe, werde ich erwartungsgemäß nach Kennung und Paßwort gefragt. Wenn ich danach eine aus dem anderen Verzeichnis aufrufe, fragt Netscape ein zweites Mal, und so stelle ich mir das auch vor. Der MS IE fragt aber nicht mehr, sondern öffnet einfach die Datei. Nanu?!

Dieses Phänomen trat wiederholt auf, und zwischendurch hatte ich jeweils alle Fester des jeweiligen Browsers geschlossen.

Die .htaccess-Datei hat jeweils folgendes Format (und das X steht dabei für die jeweils *unterschiedlichen* Bereichsnamen A und B):

authType      basic
authName      BereichX
authUserFile  /Verzeichnispfad/X/password.txt
authGroupFile /dev/null
<Limit GET>
require valid-user
</Limit>

Habe ich einen dummen Bug in die .htaccess-Datei gebaut? (Deswegen steht die Frage unter "SERVER".)
Wie kann ich diese unbeabsichtigte Freigiebigkeit unter MS IE abstellen?

Danke im Voraus!
Harald

Beitrag melden
Informationen zu den Bewertungsregeln

  1. .htaccess : Gleiche Kennung in 2 Bereichen -» MS IE verzichtet auf zwei

    Michael Schröpl
    Informationen zu den Bewertungsregeln

    Hi,

    Habe ich einen dummen Bug in die .htaccess-Datei gebaut? (Deswegen steht die Frage unter "SERVER".)

    ich halte Dein Vorgehen für korrekt und sehe keinen Fehler in der Definitions des Zugriffsverfahrens.

    Wie kann ich diese unbeabsichtigte Freigiebigkeit unter MS IE abstellen?

    Hm ... um genauer festzustellen, ob es sich um einen Browser-Bug handelt, würde ich das mit verschiedenen MSIE-Installationen überprüfen.

    In http://www.teamone.de/selfaktuell/artikel/schroepl02.htm#a5 habe ich beschrieben, was die einzelnen Browser beim Authentifizierungs-Prompt anzeigen - teilweise sagen sie, für welchen Realm (=AuthName) die Authentifikation erfolgen soll. Wird der bei Dir angezeigt?

    Probier doch mal folgendes:
    1. Browser starten, Authentifizierung in BereichX, Authentifizierung in BereichY.
    2. Browser starten, Authentifizierung in BereichY, Authentifizierung in BereichX.
    Mich würde interessieren, ob jeweils der Realm angezeigt wird - und auch, welcher der beiden.

    Ansonsten noch eine ganz wilde Vermutung: Wie lang sind die Realm-Namen, und wie präfix-identisch sind sie? (String im Browser abgeschnitten?)

    mfG - Michael

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. .htaccess : Gleiche Kennung in 2 Bereichen -» MS IE verzichtet auf zwei

      Harald Meißner
      Informationen zu den Bewertungsregeln

      Danke für Eure beiden Antworten!

      ganz normal, ist kein bug, IE speichert ja (wenn gewünscht) user und passwort, wenn er dann auf der selben domain noch einmal einen 401er bekommt versucht er es erst mit den schon gespeicherten werten, da sie in deinem fall gleich sind fragt er nicht nach.

      Hmm. Verstehe ich richtig: Der IE richtet sich nach der Domain, nicht nach dem Realm? Wenn ich einen etwas wilden Zufall konstruiere, könnte damit also ein User, der in einem Realm "Meier" heißt, Zugriff auf Dateien haben, die eigentlich für einen "Meier" in einem ganz anderen Realm gedacht sind, sofern die beiden zufällig dasselbe Passwort haben?
      (Der Passwort-Zufall wird nicht mehr ganz so abwegig, wenn ich an manche Methoden zur Vergabe eines Erstlings-Passworts denke, z.B. mit Geburtsdatum oder in Abhängigkeit vom Namen.)

      probier es aus wenn zb. die passwörter unterschiedlich sind, dann muß er nachfragen.

      Werde ich, danke.

      Hm ... um genauer festzustellen, ob es sich um einen Browser-Bug handelt, würde ich das mit verschiedenen MSIE-Installationen überprüfen.

      Werde ich; bislang trat es unter dem IE 4.0 auf.

      In http://www.teamone.de/selfaktuell/artikel/schroepl02.htm#a5 habe ich beschrieben, was die einzelnen Browser beim Authentifizierungs-Prompt anzeigen - teilweise sagen sie, für welchen Realm (=AuthName) die Authentifikation erfolgen soll. Wird der bei Dir angezeigt?

      Probier doch mal folgendes:

      1. Browser starten, Authentifizierung in BereichX, Authentifizierung in BereichY.
      2. Browser starten, Authentifizierung in BereichY, Authentifizierung in BereichX.
        Mich würde interessieren, ob jeweils der Realm angezeigt wird - und auch, welcher der beiden.

      Ja, er wird angezeigt. Jeweils der richtige, der zu dem aufgerufenen Realm gehört.

      Ansonsten noch eine ganz wilde Vermutung: Wie lang sind die Realm-Namen, und wie präfix-identisch sind sie? (String im Browser abgeschnitten?)

      Die Realmnamen bestehen aus 8 bzw. 9 ab der ersten Stelle unterschiedlichen Buchstaben. Keine Leerzeichen, kein Underscore, nix.

      Allerdings ist der Verzeichnispfad unter AuthUser ziemlich lang, aber da sehe ich im Moment keinen Zusammenhang.

      Tja, ich will aus einer Mücke (Passwortzufall, s. oben) keinen Elefanten machen; etwas beruhigt bin ich ja durch den Hinweis, daß die .htaccess-Datei im Grunde ok ist. Irritierend find ich's trotzdem.

      Jetzt werde ich noch die genannten anderen Konstellationen (Browserversion, nicht-identische Passwörter, vielleicht dasselbe noch mit einem dritten Realm...) ausprobieren. Melde mich wieder, vermutlich aber erst nächste Woche.

      Danke!
      Harald

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. .htaccess : Gleiche Kennung in 2 Bereichen -» MS IE verzichtet auf zwei

        Calocybe
        Informationen zu den Bewertungsregeln

        Hi!

        Hmm. Verstehe ich richtig: Der IE richtet sich nach der Domain, nicht nach dem Realm? Wenn ich einen etwas wilden Zufall konstruiere, könnte damit also ein User, der in einem Realm "Meier" heißt, Zugriff auf Dateien haben, die eigentlich für einen "Meier" in einem ganz anderen Realm gedacht sind, sofern die beiden zufällig dasselbe Passwort haben?

        Nun ja, schon. Aber das ist eben Pech. Dem IE ist da kein Vorwurf zu machen, denn die Sicherheit wird ausschliesslich durch .htaccess auf der Serverseite hergestellt, so ist das Konzept. Einem Brute-Force-Angriff ist .htaccess ja auf Dauer auch nicht gewachsen (Apache hat nicht mal ne Verzoegerung bei falscher Anmeldung eingebaut, wie das beim Login auf Unixen normal ist).

        So long

        Beitrag melden
        Informationen zu den Bewertungsregeln

  2. .htaccess : Gleiche Kennung in 2 Bereichen -» MS IE verzichtet auf zwei

    Ludwig Ruderstaller
    Informationen zu den Bewertungsregeln

    Hallo,

    Wenn ich eine Datei aus dem einen Verzeichnis aufrufe, werde ich erwartungsgemäß nach Kennung und Paßwort gefragt. Wenn ich danach eine aus dem anderen Verzeichnis aufrufe, fragt Netscape ein zweites Mal, und so stelle ich mir das auch vor. Der MS IE fragt aber nicht mehr, sondern öffnet einfach die Datei. Nanu?!

    ganz normal, ist kein bug, IE speichert ja (wenn gewünscht) user und passwort, wenn er dann auf der selben domain noch einmal einen 401er bekommt versucht er es erst mit den schon gespeicherten werten, da sie in deinem fall gleich sind fragt er nicht nach.

    probier es aus wenn zb. die passwörter unterschiedlich sind, dann muß er nachfragen.

    lg
    Ludwig

    Beitrag melden
    Informationen zu den Bewertungsregeln