Аутентификация домена Google Chrome и пароли в виде открытого текста в HTTP-заголовке
В ответе на аутентификацию Windows с Google Chrome обозначается, что Chrome еще не поддерживает Автоматическую аутентификацию NTLM, что означает, что пользователям, проходящим проверку подлинности на сайты с помощью аутентификации Windows, предлагают вход в систему. Который является раздражающим, но не проблема. То, где проблема находится, - то, что пользовательский пароль затем отправляется в открытом тексте в проходящий проверку подлинности сайт.
Я сделал на скорую руку быстрый сценарий ASP.NET, который вытаскивает пароль из AUTH_PASSWORD в Запросе. Набор ServerVariables. И Safari и подсказка Opera для удостоверений пользователя, но ни один не отправляет пароль в открытом тексте в HTTP-заголовке. Я нахожу это особенно нечетным, так как Chrome как Safari основан на WebKit.
Каково различие между способом, которым Chrome Проходит проверку подлинности по сравнению с другими браузерами и почему это отправляет пароль в сайт этим способом?
4 ответа
Одна возможность состоит в том, что хром не может поддерживать NTLM вообще, и Chrome просто отступает к Базовой аутентификации HTTP. Можно ли получить точные заголовки, используемые с wireshark или подобные?
В ответ на Ваш комментарий к ответу bdonlan:
Я предполагаю, что не смогу видеть аутентификацию, потому что сайт, против которого я работаю, использует SSL.
Инструмент прокси отрыжки позволяет смотреть (и даже изменять) Запросы HTTP и ответы, и он может действовать как прокси HTTPS также. (Это может или не может работать, в зависимости от того, как Chrome использует прокси HTTPS.)