jack: HTTP-Auth @-Zeichen

Hallo,

leider habe ich folgendes Problem:

Per String "http://username:password@domain.com/home" möchte ich direkt Username und Passwort mit übergeben.

Leider hat das Passwort bereits ein @Zeichen (z.B. pass@word) - es gibt also einen Konflikt und die Site wird nicht aufgerufen.

Evtl. eine Idee?

Merci!

jack

  1. Lieber jack,

    das Zauberwort heißt "kontext-gerechtes Enkodieren". Du musst also das @-Zeichen URL-kodiert notieren.

    Liebe Grüße,

    Felix Riesterer.

    --
    ie:% br:> fl:| va:) ls:[ fo:) rl:| n4:? de:> ss:| ch:? js:) mo:} zu:)
  2. @@jack:

    nuqneH

    Per String "http://username:password@domain.com/home" möchte ich direkt Username und Passwort mit übergeben.
    […]
    Evtl. eine Idee?

    Ja, es nicht zu tun. Passwort im URI ist nicht sicher. Da kannst du dir das Passwort auch gleich ganz sparen.

    Qapla'

    --
    „Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)
    1. Hallo,

      Per String "http://username:password@domain.com/home" möchte ich direkt Username und Passwort mit übergeben.

      wo übergeben und an wen? - Denn erlaubt ist diese Notation zwar für einige Protokolle, etwa FTP, aber für HTTP ist sie ausdrücklich nicht definiert. Manche Browser akzeptieren das bei der Eingabe trotzdem und dröseln das dann selbst auf, aber du musst jederzeit damit rechnen, dass ein Programm, dem du sowas übergibst, die Kooperation verweigert.

      Passwort im URI ist nicht sicher. Da kannst du dir das Passwort auch gleich ganz sparen.

      Ja, das trifft aber generell auf manche Dienste zu, die im Web angeboten werden. Zum Beispiel genau hier: Als normaler Forums-Nutzer (nicht Admin) dient die Authentifizierung ja auch bloß dem Auffinden der persönlichen Einstellungen, hat aber nicht die Funktion einer Zugangskontrolle oder dem Gewähren von Zugriffsrechten - ergo besteht auch kein Grund, die Zugangsdaten geheimzuhalten.

      Wir verwenden doch nicht etwa für mehrere Dienste dieselben Zugangsdaten ...?

      Ciao,
       Martin

      --
      Auch mit eckigen Radios kann man Rundfunk hören.
      Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
      1. Hi!

        Ja, das trifft aber generell auf manche Dienste zu, die im Web angeboten werden. Zum Beispiel genau hier: Als normaler Forums-Nutzer (nicht Admin) dient die Authentifizierung ja auch bloß dem Auffinden der persönlichen Einstellungen, hat aber nicht die Funktion einer Zugangskontrolle oder dem Gewähren von Zugriffsrechten - ergo besteht auch kein Grund, die Zugangsdaten geheimzuhalten.

        Das finde ich kein gutes Beispiel. Mein Name ist geschuetzt, deshalb klaut man mit meinen Zugangsdaten auch meine ID. Wenn heute Nacht hier ein Posting auftaucht "Der Martin ist doof" und mein (geschuetzter) Name steht dahinter, wer darf sich dann die Vorwürfe der anderen anhören und muss zur Strafe die naechsten 100 Fragen beantworten? ;)

        --
        Signaturen sind bloed.