Markus Trusk: .htaccess Login wurde umgangen, aber wie war das möglich?

SELF-Forum

.htaccess Login wurde umgangen, aber wie war das möglich?

Markus Trusk
Informationen zu den Bewertungsregeln

Hi,
Ein Besucher meiner Seite, die sich hinter einem Passwortschutz mit .htaccess befindet, zeigte mir, dass er in Win98 mit dem IE5 den Passwortschutz umgehen konnte.
Wenn das Prompt kam, klickte er auf Cancel. Danach kam ganz normal die Authorization required Fehlermeldung. Tippte er nun eine andere URL oben ein, zB google.at wählte diese an damit sie ladet, und klickte danach auf den Back Button, war er plötzlich auf meiner Webseite, ohne das er das Passwort eingab. Klickte er jetzt einen Link auf meiner Seite, kam das Prompt wieder. Er brauchte nur wieder auf Abbrechen gehen, eine neue Fehlermeldung kommt, aber jetzt hat er keinen Back button zum klicken, sondern einen Vorwärtsbutton, und so kann er immer weiter machen, bis er die ganze Seite durchgeschaut hat. Warum ist so etwas möglich?
Ich habe selbst die Gelegenheit gehabt es auf Win98 zu testen, aber bei mir funktionierte es nicht. (wie es ja eigentlich sein soll)

Markus Trusk.

Beitrag melden
Informationen zu den Bewertungsregeln

  1. .htaccess Login wurde umgangen, aber wie war das möglich?

    Rolf Rost Homepage des Autors
    Informationen zu den Bewertungsregeln

    Hi,

    Ich habe selbst die Gelegenheit gehabt es auf Win98 zu testen, aber bei mir funktionierte es nicht. (wie es ja eigentlich sein soll)

    Möglicherweise war die Seite bei dem Kameraden im Cache, prüf das mal.

    Gruss, Rolf

    --
    http://perlbase.xwolf.de/
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. .htaccess Login wurde umgangen, aber wie war das möglich?

      wahsaga Homepage des Autors
      Informationen zu den Bewertungsregeln

      hi,

      Möglicherweise war die Seite bei dem Kameraden im Cache, prüf das mal.

      das ist auch m.E. die einzig plausible erklärung.

      den server kannst du bei HTTP AUTH nur durch _eine einzige_ clientseitige aktion zum ausliefern der ressource bewegen - und das ist eben die übermittlung korrekter login-daten.

      wenn es _kein_ cache-problem sein sollte - dann würde ich dieses beschriebene verhalten so lange heftig bezweifeln, bis es mir live vorgeführt wird.

      gruss,
      wahsaga

      --
      http://wazgnuks.net/ - back from the dead
      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. .htaccess Login wurde umgangen, aber wie war das möglich?

        Markus Trusk
        Informationen zu den Bewertungsregeln

        Hi nochmal.
        Es lag wirklich am Cache. Danke euch.

        Markus Trusk.

        Beitrag melden
        Informationen zu den Bewertungsregeln

    2. .htaccess Login wurde umgangen, aber wie war das möglich?

      Markus Trusk
      Informationen zu den Bewertungsregeln

      Hi,

      Möglicherweise war die Seite bei dem Kameraden im Cache, prüf das mal.

      Ok, ich habe ihn darauf hingewiesen. Werde mich nachher nochmal melden, wenn ich etwas weiß.

      Markus Trusk.

      Beitrag melden
      Informationen zu den Bewertungsregeln

  2. .htaccess Login wurde umgangen, aber wie war das möglich?

    Held in Blau Homepage des Autors
    Informationen zu den Bewertungsregeln

    Ist hier als Sicherheitslücke aufgeführt

    http://www.computec.ch/dokumente/webbrowser/sicherheitsluecken_im_internet_explorer/sicherheitsluecken_im_internet_explorer.html

    Beitrag melden
    Informationen zu den Bewertungsregeln