Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Некоторое время (от версии 1.3.8 до 2.0.51) разработчики Apache ожидали изменений в IE, но шаг навстречу пришлось делать снова им. В Apache 2.0.51 модуль mod_auth_digest стал обрабатывать переменную окружения AuthDigestEnableQueryStringHack. Если она установлена, то модуль «на лету» корректирует HTTP-заголовки, придавая им стандартный вид. То есть, чтобы общение с IE шло без сбоев, следует использовать директиву:
BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
Тогда сервер будет распознавать самый великий браузер и на лету подставлять ему костыли.
Мои личные тесты, проведённые на apache-2.0.55, показали, что если браузер «притворяется» Explorer (как это делает Opera), но соблюдает все нормы, то никакого конфликта не возникает. Видимо, это сделано в расчёте на то, что IE когда-нибудь начнёт работать по общепринятым правилам. То есть, согласно результатам этих тестов, можно установить переменную AuthDigestEnableQueryStringHack безусловно:
SetEnv AuthDigestEnableQueryStringHack On
Но документация на Apache рекомендует первый способ, не исключено, что на это есть какие-то причины.
Неразбериха же возникает от того, что большинство обзоров пытаются ответить на вопрос: «имеет ли IE версии X возможность Y?» Но теперь вы видите, что в данном случае результат тестирования определяется не версией клиента, а мельчайшими деталями настройки сервера. Поэтому и возникает тот разброс мнений, который легко наблюдать в Internet. Дело усугубляется ещё и тем, что, с точки зрения любого другого браузера, все три перечисленные конфигурации сервера одинаково работоспособны.
На мой взгляд, всё это ещё один пример того, как Microsoft открыто вытирает ноги о весь мир.
К сожалению, у меня не было возможности протестировать сервер IIS на предмет его совместимости с какими-либо браузерами, отличными от IE. Но лично у меня нет оснований не доверять eWeek.
Преимущества digest-авторизации
Итак, мы рассмотрели тонкости digest-схемы авторизации и обнаружили массу недостатков. Но надо ли после этого ставить на ней крест? Очевидно, нет. Наивно было бы ожидать, что какая-либо надстройка над HTTP сможет изменить его природу и сделает его надёжнее специализированных средств, таких как SHTTP и TLS. Но несмотря на то, что digest-процедура не исключает возможности многих видов атак, она всё же оказывается более защищённой, чем basic. Digest-схема имеет некоторые преимущества и перед SSL: она проще в настройке, работа по алгоритмам digest-авторизации не создаёт практически никакой вычислительной нагрузки на систему, кроме того, не будем забывать, что SSL-сертификаты не бесплатны. Наконец, digest-схема превосходит по стойкости многие протоколы, распространённые не менее, чем протокол HTTP. Не секрет, что пароль передаётся в открытом виде в POP3, IMAP, FTP и многих других протоколах.