Sven Rautenberg: Dateidownload und AJAX

Beitrag lesen

SELF-Forum

Dateidownload und AJAX

Sven Rautenberg Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Noch mal: Wenn der Browser sich bereits mit einen Request erfolgreich authentifiziert hat - dann *merkt* er sich diese Daten, und schickst sie beim nächsten Request nach einer Ressource automatisch wieder mit.

Du könntest also zunächst einen AJAX-Request auf irgendeine „uninteressante“ Ressource im Realm absetzen, dabei die Zugangsdaten mitgeben (nicht über einen selbstgebastelten Header, sondern über die dafür vorgesehenen Parameter) - und dann sollte der Browser beim anschließenden Ausführen des stinknormalen Links nicht (erneut) nachfragen.

Ist und bleibt hinsichtlich „Sicherheit“ natürlich trotzdem kolossaler Blödsinn.

Ich hätte so meine Zweifel, dass man mit Ajax-Requests eine HTTP-basierte Authentifizierung so hinkriegt, dass der Browser sich die Credentials merkt. Ich würde behaupten, dass dafür wenigstens einmal das Standard-Passwort-Feld ausgefüllt werden muss. Danach allerdings werden die Credentials dann für jede Ressource im entsprechenden Realm verwendet, auch bei Ajax.

Das wiederum könnte im Widerspruch zum Wunsch stehen, beim Login auf eben diesen Standard-Passwort-Dialog zu verzichten und lieber ein beliebig stylebares Formular zu nehmen. In solchem Fall ist die korrekte Antwort auf die Authentifizierungsproblematik allerdings cookiebasierte "Session" und nicht selbstgestricktes dauerhaftes Senden des Passworts mit Ajax.

Das Fehlen von HTTPS beweist aber ja sowieso, dass es hier nicht um sicherheitsrelevante Informationen geht. Also kann man sich entsprechende Bemühungen sowieso sparen, sprich: Jeglicher Aufwand zur Verschleierung der Login-Authentifizierung ist sinnlos, weil sowieso im Klartext nachvollziehbar ist, welche Technologie und welche Verfahren zum Einsatz kommen.

Und selbst wenn nicht: Sich ein korrekt funktionierendes Krypto-Verfahren auszudenken ist absolut nicht trivial und sollte nur von erfahrenen Kryptologen in Angriff genommen werden. Otto-Normalprogrammierer bedient sich besser eines der bekannten und als sicher erachteten Verfahren - ansonsten passiert sowas...

- Sven Rautenberg

Beitrag melden
Informationen zu den Bewertungsregeln