<div class="gmail_quote">2010/2/26 Andrew Kopeyko <span dir="ltr"><<a href="mailto:kaa@zvuki.ru">kaa@zvuki.ru</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">Mikhail Fursov wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
2) Должна быть указан URL страницы на которую переходить при ошибке аутентификации. Тут важно передать странице с ошибкой полную информацию об аутентификации - логин, пароль, тип ошибки (если возможно). В Apache этого нет, поэтому когда происходит ошибка аутентификации и пользователя требуют заново ввести пароль совсем непонятно по какой причине: его аккаунт заблокирован, задан неправильный пароль etc. Это очень неудобно.<br>
</blockquote>
<br></div>
Зато правильно с точки зрения безопасности - при отказе в доступе не происходит раскрытия информации. Удивительно, что вы не знаете таких базовых вещей.<br>
<br>
А ваш "дружественный" интерфейс будет подыгрывать взломщику, позволяя ему последовательно подобрать логин, а затем пароль.<br>
<br>
Вы ведь не ограничиваете кол-во неудачных попыток авторизации?<br><font color="#888888">
<br></font></blockquote><br></div>Я не гуру в разработке веб-серверов но не вижу тут никакого раскрытия информации. На error-document шли бы те же данные, что ввел сам пользователь. Что из них ожно раскрыть? Код ошибки - его можно и убрать вообще, тк его можно воспроизвести из login/password непосредственно на error-document.<br>
<br><br>-- <br>Mikhail Fursov<br>