Digest Authentication + PHP scripts

[tche]

Digest Authentication + PHP scripts

Народ, кто пробовал Digest Authentication? Я настроил mod_auth_digest + apache 1.3.26 + php_4.2.1, нормально окрываются страницы типа xxx.phtml, а xxx.phtml?a=b&c=d не открываются, возвращает ответ 400 и в error_log пишет

Digest: uri mismatch - <xxx.phtml> does not match request-uri <xxx.phtml?a=b&c=d>

Готов уже отказаться от Digest, но все-таки очень интересно, почему не работает метод GET.

Ч.

 

[kvn]

А чем тебя Basic Auth не устроил??

 

[tche]

Автор оригинала: kvn
А чем тебя Basic Auth не устроил??

Ну Basic это не вариант, а вот сессии + MD5 пароля вроде ничего, мне просто захотелось использовать встроенные фунции апача, которые я ни разу не использовал, и даже все заработало, кроме GET метода.

 

[tche]

ВНИМАНИЕ - ОТВЕТ АВТОРА МОДУЛЯ

mod_auth_digest, Ronald Tschaldr

This is a known bug in IE - the request uri is digested up with other
stuff, but IE strips off the query string before doing so, which is
wrong. I notified M$ of this about 3 years ago, but they didn't do
anything. Recently there was more talk about this, and the apache folks
agreed with me that mod_auth_digest will not be changed because A) it
follows the spec correctly, B) it works correctly with Mozilla/Galleon,
Opera, and Amaya, and C) it would reduce the security (certain MITM
attacks can be done if the query-string is removed).

So, I suggest lobying M$ to fix their browser (and server, for that
matter). Sorry.

Ronald