« 質問サイトの問題点 | メイン | 再びAWStatsにセキュリティホール »
2005年03月10日
IEのダイジェスト認証のバグ
カテゴリー:
[自宅サーバ]
いままで,Webのアクセス制御にBasic認証を使っていました.これはパスワードが平文で流れます.
いつかは変えようと思っていたので,今回,Digest認証にかえたのですが,一部のページがIE(Internet Explorer)だと見られません.URLがマッチしないというようなメッセージとともに,400 Bad Requestになってしまいます.
リクエストとレスポンスを覗いてみたところ,URLがCGIを指していて,hoge.cgi?foo=bar のようにパラメータを渡している場合,IEの送り出すAuthorizationヘッダの,uri に ?以降が含まれないことが分かりました.最初は設定ミスかと思ったのですが,調べたら,どうも,これはIEのバグらしいのです.(HTTP クライアントを作ってみよう(6) - Digest 認証編 -)
Digest認証は,URLによってDigestが変わるわけで,これが間違っていたらお話になりません.
このバグ,いつまでたっても直らないそうで,Apache-2.0.51 から,これを強制的に回避するオプションが追加されたようです.
こんな風にして,UserAgent にMSIEが含まれている場合だけ,回避オプションをONにします.
BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On
ところが,私は何となくapache 1.3系を使っています.特に理由はないんですが.
mod_auth_digest にパッチでも当てようかと考えたりもしましたが,管理が面倒になるだけなので,すなおに apache 2.0 系に変えました.
しかし,Microsoft は何でこんな単純なバグを直さないのでしょうね.直すと互換性の問題が起きるというわけでもないだろうし.謎です.というか,どうやるとこういうバグを作れるのか^^;
MicrosoftのWebサーバであるIIS(Internet Information Services)は,どういう実装になっているんでしょう.こういうバグありのリクエストを処理できるんでしょうか.まあ,身内のソフトだから処理できるんだろうと思いますが...
せめて,このくらいは標準に従ってほしいです.
投稿者 shingo : 2005年03月10日 23:23
トラックバック
このエントリーのトラックバックURL:
http://isolinear.info/cgi-bin/mt/mt-tb.cgi/61
コメント
Basic認証 over SSL じゃいかんの?
投稿者 noguchi : 2005年03月14日 13:32
それも考えたけど,オレオレ証明書作るよりはいいかな,と.別に通信内容を保護したいわけじゃないし.
どうせ使うのは自分だけだから,どっちでもよかったんだけど,Digest認証の方が設定も簡単だから.
こんなバグさえなければ,もっと簡単なはずだったんだけど...
投稿者 shingo : 2005年03月14日 16:47
I now, this is a great article.A successful blog needs unique, useful content that interests the readers
投稿者 Texas Holdem : 2009年12月19日 10:43
mm... really like this :))
投稿者 Spanking Boys Young : 2009年12月20日 03:45
yes... cognitively post ))
投稿者 Chubby Teen Gallerys : 2009年12月22日 13:16
What are costs for scoring state tests? Do schools bear them?
投稿者 MD Shopmy : 2009年12月23日 18:27
yeah... funny post!
投稿者 Voyer School : 2009年12月24日 22:53
Thanks.what a lengthy and in depth article but full of useful information
投稿者 betfair tactics : 2009年12月28日 01:28
Abbreviation is such a long word because they dont allow abreviations in scrabble ;) russian mp3 sites
投稿者 sparks : 2009年12月30日 19:07
I can see the logic in your argument but I think you've painted your strokes
投稿者 car-reviews.ru : 2010年01月03日 18:13
I did this years ago in a class as well. Though Apple is expensive, its stocks rise quickly.
投稿者 Education Program : 2010年01月21日 14:29
Спасибочки, я когда устаю работать перерывчики делаю, к вам бывает заглядываю, так держать.
投稿者 ofigennoe : 2010年02月04日 00:55
You may contact a web developer below.
投稿者 7ly.ru : 2010年02月04日 01:13
Why is a square meal served on round plates?
投稿者 Online Degree : 2010年02月06日 08:41
How do I make money online without spending money?
投稿者 warez cracks : 2010年02月08日 11:13
How do I make money online without spending money?
投稿者 Verizon wireless prepaid : 2010年02月10日 23:24
Бесплатный совет: заведи у себя в блоге рубрику типа "самые горячие обсуждения" или что-то в этом роде. Там можно будет комментировать самые обсуждаемые темы блога…
投稿者 оригинальные подарки москва : 2010年02月15日 06:49
Good article, lots of intersting things to digest. Very informative
投稿者 advertising : 2010年02月18日 00:00
итак: спасибо. а82ч
投稿者 Oreplay : 2010年02月24日 21:39
Is it good if a vacuum really sucks?
投稿者 twitter followers list : 2010年02月25日 06:39
Can you show the numbers by borough and type of school (public/charter/non-public)? By type of cost - metro card / busing?
投稿者 Образование в США : 2010年02月27日 08:17
Great information. It’s really useful. Thanks
投稿者 Affiliate Network : 2010年03月04日 15:06
What is the budget and head count of the press office?
投稿者 Affiliate : 2010年03月07日 12:58