Moin!

REMOTE_PASS meinte ich. Warum wird dies eigentlich nicht übertragen? - Wäre IMO sinnvoll, natürlich auch eine potenzielle Sicherheitslücke. Wie geht dann (oder überhaupt?) eine Authentication _nur_ über CGI (nicht über .htaccess)?

Wenn der Apache beispielsweise auf die Passwortdaten zugreift, die das CGI-Skript irgendwo abgespeichert hat, kann man .htaccess-Methoden benutzen. Möglich sind dabei u.a. die berühmte .htpasswd-Datei (die man per Skript generieren lassen kann), oder auch eine MySQL-Datenbank (was bei hohen Userzahlen performanter ist).

Die Angabe "REMOTE_USER" ist jedenfalls schon authentifiziert.

CGI-Skripte können natürlich auch den gesamten HTTP-Verkehr kriegen. Dann sind sie für's Parsen und verstehen der empfangenen Daten aber auch selbst verantwortlich. Ein gutes Beispiel dafür wäre z.B. Michael Schröpls "http_trace.pl". Das kommt (ich müßte nachgucken, wie genau - sicherlich gibts dazu ein Modul) irgendwie an den vom Browser gesendeten Header heran und gibt ihn weiter an den zu befragenden Server.

- Sven Rautenberg