Problème de sécurité - Pourquoi me rediriger vers une entrée dangereuse?

J'ai des problèmes pour que le site fonctionnait sur mon lieu de travail. Le problème est survenu lorsque la "double entrée" du site d'entrée protégée s'est produite. En fait, la deuxième entrée a été proposée par un domaine HTTP, mais non HTTPS.

En fait, c'est:

L'utilisateur passe K.
https://mysite.com/something
Il y aura une invitation à se connecter

Entrez la connexion et le mot de passe

L'utilisateur est proposé une autre invitation de connexion (IE dira que c'est insécutable et la ligne d'adresse le reflète)

Si l'utilisateur entre dans votre mot de passe non protégé, il entrera dans un site dangereux.

S'ils cliquent "Annuler", Ils recevront une page 401

retournant à
https://somesite.com/something
Passer l'invitation d'entrée et les enregistrer automatiquement sur un site sécurisé. (peut-être, cookie)

Je suis un peu confus pourquoi l'utilisateur n'est pas connecté correctement pour la première fois (redirigé vers non SSL), Mais toute entrée en série dans le système ira bien? J'ai essayé d'utiliser violoniste pour voir ce qui se passe après l'entrée de son mot de passe pour la première fois et a essayé de rendre le violoniste entrer automatiquement le site. (sans succès)

Je crois que ce site utilise l'authentification Basic Digest.

Merci pour toute aide
Invité:

Babette

Confirmation de:

Il semble que le serveur transmet le titre Location à une autre page pendant (ou immédiatement après) authentification.

En fonction de la configuration des serveurs. (Pour le port 80 et 443), La page peut également être simplement codée pour aller à la page http: // (Port 80), sur lequel vous n'avez pas encore été authentifié (Encore une fois, selon la structure).

Pouvez-vous vérifier le titre HTTP et signaler s'il y a un en-tête Location, Ou si le codage d'authentification est défini sur "Rediriger vers la page en cas de succès".

Christine

Confirmation de:

L'authentification de base et de Digest Cause Le navigateur d'ajouter un titre nommé

Authorization

. Le serveur peut le lire ou l'ignorer. Très probablement, il l'ignore si le fichier est installé cookie authentification. Ce fichier cookie est un fichier cookie session. Il sera appelé ASPSESSIONID, JSESSIONID, PHPSESSIONID ou quelque chose de similaire.

C'est ce qui se passe:

Lors de la première entrée, le système échoue HTTPS. Il est difficile de dire pourquoi, j'utilise
http://yeahbutactually.blogspo ... .html
.

Vous serez redirigé vers la page http. Le serveur est configuré pour demander la base / Authentification digère, qui arrive.

Vous entrez vos informations d'identification acceptées cette fois-ci. Le serveur vous fournit un fichier. cookie Session

retournant à HTTPS, Le serveur ignore

Authorization

Titre (qui est susceptible de compléter l'erreur), Puisqu'il y a un fichier cookie Session.

Pour résoudre ce problème, vous devez comprendre pourquoi la première authentification est rejetée.

Fiddler - Ceci est proxy. Il ne sera pas en mesure de voir le contenu crypté de la page d'entrée sécurisée. Vous devez ajouter un plugin à votre navigateur pour voir les titres HTTP. Si vous mettez à jour vos titres de questions, soyez prudent. Authentification normale - Ceci est votre mot de passe texte simple dans base64.

Pour répondre aux questions, connectez-vous ou registre