安全登录的问题-为什么要重定向到不安全的登录？

Question

我有一些问题，让一个网站在我的工作地点工作。当从安全登录站点发生“双重登录”时，该问题非常严重。第二个登录实际上是由HTTP域而不是HTTPS提示的。

实质上，情况是这样的：

• 用户导航到https://mysite.com/something
• 弹出登录提示。
• 输入用户名和密码
• 用户将获得另一个登录提示(IE将表示其不安全，地址栏反映了此)
  • 如果用户输入不安全的密码，他们将登录到不安全的站点。
  • 如果他们点击cancel，就会给他们提供401页

• 导航回https://somesite.com/something将通过传递登录提示并自动登录到安全站点(可能是cookie)。

我有点困惑，为什么用户第一次没有正确登录(重定向到非ssl)，但是任何连续登录都可以吗？我一直在尝试使用fiddler来查看用户第一次输入密码后发生了什么，并试图让吹手自动登录到站点(没有运气)。

我相信该网站正在使用基本摘要认证。

谢谢你的帮助

Answer 1

听起来，服务器正在将位置标头传递到另一个页面，同时(或刚通过身份验证)。

根据服务器(S)(对于端口80和443)是如何配置的，它也可以简单地编码到http:// page (端口80)，在该页面上您还不会通过身份验证(同样，取决于结构)。

您能否检查HTTP标头，并报告是否存在位置标头，或者身份验证编码是否设置为“在成功时重定向到页面”。

Answer 2

基本身份验证和摘要身份验证使浏览器添加一个名为Authorization的标题。服务器可以自由地读取或忽略它。如果存在身份验证cookie集，则很可能会忽略它。那块饼干就是会话饼干。它将被称为ASPSESSIONID、JSESSIONID、PHPSESSIONID或类似的东西。

下面是正在发生的事情：

1. 第一次登录在HTTPS上失败。很难说为什么，我使用的是心灵调试。
2. 您将被重定向到http页面。服务器被配置为请求基本/摘要auth，这就是。
3. 您输入您的凭据，这一次将被接受。服务器为您提供会话cookie。
4. 回到HTTPS，服务器会忽略Authorization头(这很可能会失败)，因为有一个会话cookie。

要解决这个问题，您必须了解为什么拒绝第一次身份验证。

费德勒是个代理人。它将无法看到安全登录页的加密内容。您需要在浏览器中添加一个插件来查看HTTP头。如果你用标题更新你的问题，要小心。基本身份验证是base64中的纯文本密码。