« 質問サイトの問題点 | メイン | 再びAWStatsにセキュリティホール »

2005年03月10日

IEのダイジェスト認証のバグ

カテゴリー: [自宅サーバ]

いままで,Webのアクセス制御にBasic認証を使っていました.これはパスワードが平文で流れます.
いつかは変えようと思っていたので,今回,Digest認証にかえたのですが,一部のページがIE(Internet Explorer)だと見られません.URLがマッチしないというようなメッセージとともに,400 Bad Requestになってしまいます.

リクエストとレスポンスを覗いてみたところ,URLがCGIを指していて,hoge.cgi?foo=bar のようにパラメータを渡している場合,IEの送り出すAuthorizationヘッダの,uri に ?以降が含まれないことが分かりました.最初は設定ミスかと思ったのですが,調べたら,どうも,これはIEのバグらしいのです.(HTTP クライアントを作ってみよう(6) - Digest 認証編 -
Digest認証は,URLによってDigestが変わるわけで,これが間違っていたらお話になりません.
このバグ,いつまでたっても直らないそうで,Apache-2.0.51 から,これを強制的に回避するオプションが追加されたようです.

こんな風にして,UserAgent にMSIEが含まれている場合だけ,回避オプションをONにします.

BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On

ところが,私は何となくapache 1.3系を使っています.特に理由はないんですが.
mod_auth_digest にパッチでも当てようかと考えたりもしましたが,管理が面倒になるだけなので,すなおに apache 2.0 系に変えました.

しかし,Microsoft は何でこんな単純なバグを直さないのでしょうね.直すと互換性の問題が起きるというわけでもないだろうし.謎です.というか,どうやるとこういうバグを作れるのか^^;
MicrosoftのWebサーバであるIIS(Internet Information Services)は,どういう実装になっているんでしょう.こういうバグありのリクエストを処理できるんでしょうか.まあ,身内のソフトだから処理できるんだろうと思いますが...
せめて,このくらいは標準に従ってほしいです.

投稿者 shingo : 2005年03月10日 23:23

トラックバック

このエントリーのトラックバックURL:
http://isolinear.info/cgi-bin/mt/mt-tb.cgi/61

コメント

Basic認証 over SSL じゃいかんの?

投稿者 noguchi : 2005年03月14日 13:32

それも考えたけど,オレオレ証明書作るよりはいいかな,と.別に通信内容を保護したいわけじゃないし.

どうせ使うのは自分だけだから,どっちでもよかったんだけど,Digest認証の方が設定も簡単だから.
こんなバグさえなければ,もっと簡単なはずだったんだけど...

投稿者 shingo : 2005年03月14日 16:47

I now, this is a great article.A successful blog needs unique, useful content that interests the readers

投稿者 Texas Holdem : 2009年12月19日 10:43

mm... really like this :))

投稿者 Spanking Boys Young : 2009年12月20日 03:45

yes... cognitively post ))

投稿者 Chubby Teen Gallerys : 2009年12月22日 13:16

What are costs for scoring state tests? Do schools bear them?

投稿者 MD Shopmy : 2009年12月23日 18:27

yeah... funny post!

投稿者 Voyer School : 2009年12月24日 22:53

Thanks.what a lengthy and in depth article but full of useful information

投稿者 betfair tactics : 2009年12月28日 01:28

Abbreviation is such a long word because they dont allow abreviations in scrabble ;) russian mp3 sites

投稿者 sparks : 2009年12月30日 19:07

I can see the logic in your argument but I think you've painted your strokes

投稿者 car-reviews.ru : 2010年01月03日 18:13

I did this years ago in a class as well. Though Apple is expensive, its stocks rise quickly.

投稿者 Education Program : 2010年01月21日 14:29

Спасибочки, я когда устаю работать перерывчики делаю, к вам бывает заглядываю, так держать.

投稿者 ofigennoe : 2010年02月04日 00:55

You may contact a web developer below.

投稿者 7ly.ru : 2010年02月04日 01:13

Why is a square meal served on round plates?

投稿者 Online Degree : 2010年02月06日 08:41

How do I make money online without spending money?

投稿者 warez cracks : 2010年02月08日 11:13

How do I make money online without spending money?

投稿者 Verizon wireless prepaid : 2010年02月10日 23:24

Бесплатный совет: заведи у себя в блоге рубрику типа "самые горячие обсуждения" или что-то в этом роде. Там можно будет комментировать самые обсуждаемые темы блога…

投稿者 оригинальные подарки москва : 2010年02月15日 06:49

Good article, lots of intersting things to digest. Very informative

投稿者 advertising : 2010年02月18日 00:00

итак: спасибо. а82ч

投稿者 Oreplay : 2010年02月24日 21:39

Is it good if a vacuum really sucks?

投稿者 twitter followers list : 2010年02月25日 06:39

Can you show the numbers by borough and type of school (public/charter/non-public)? By type of cost - metro card / busing?

投稿者 Образование в США : 2010年02月27日 08:17

Great information. It’s really useful. Thanks

投稿者 Affiliate Network : 2010年03月04日 15:06

What is the budget and head count of the press office?

投稿者 Affiliate : 2010年03月07日 12:58

コメントしてください

コメントスパム等の対策のために,大量のURLを含むコメント,古いエントリーに対するコメント,連続したコメントなどは,一旦保留されます.




保存しますか?