Falsche HTTP-Implementieruing in Firefox

    Laut RFC ist HTTP-Protocol: http://user:passwd@host:port

    Einige meiner Kunden, die über Firefox und user:passwd@ auf meinen Server zugreifen, haben sich beschwehrt, dass Firfox die RFCkonforme Abfragen abfängt
    An wen kann man sich wenden ?

    aaa

    Hi Mark13,

    Zitat von Mark123

    An wen kann man sich wenden ?


    Was meinst du damit? Um dich an jemanden zu wenden, um sich wegen mangelnder Funktionalität des Firefox (wenn es denn überhaupt so sein sollte) zu beschweren, dann bist du hier völlig falsch, da hier weder Entwickler noch sonstige "Offizielle" der Mozilla Foundation mitlesen, sondern hier ausschließlich private, freiwillige Helfer versuchen, Anwendern bei Fragen und Problemen zu unterstützen. Wenn du allerdings um Hilfe bei der Lösung eines Problems anfragst, dann mußt du wohl ein wenig Geduld haben, bis die "Cracks" auf diesem Gebiet sich deines Problems annehmen. Ich selber zähle in dem Bereich nicht zu den Wissenden, sorry.

    Have fun,
    NightHawk

    du meinst
    [Blockierte Grafik: http://img95.echo.cx/img95/9199/capture052920051653125pf.jpg]
    oder?
    ich halte das eher für eine sicherheitsfunktion, alle schreinen nach solchen, aber wenn es sie dann gibt ... anderes thema...
    hier was man findet wenn man die suchfunktion benutzt...
    http://www.firefox-browser.de/forum/viewtopi…p=116355#116355

    Ja.. das meine ich..
    Diese "Sicherheitsfunktion" hindert aber meine Kunden daran direkt auf den HTTP Server mit User und Password zuzugreifen.
    Ausserdem könnte ich diese Sicherheitsfunktion sehr leicht selbst implementieren.
    Also .. irgendwie macht sich die Softwarebranche lächerlich, wenn noch nicht einmal die wichtigsten Standards wie HTTP konsequent umgesetzt werden.
    Ich weiss, dazu kann hier keiner was.. aber denkt mal darüber nach...

    Bei uns hier erfüllt dieser Zugriff eine ganz bestimmte Funktion, auf die ich nicht naeher eingehen will .. und nu ? ... schwups isse weg .

    Wenigstens auf RFC sollte Verlass sein ! .. Wer garantiert uns denn, dass in Zukunft nicht der gesamte HTTP-Zugriff durch Sicherheitsabfragen von seiten eines Browserherstellers verplombt wird ?

    gruss,
    mark

    aaa

    Hi MasterX,

    das Problem tritt auf, weil wir für den direkten Zugriff via user:passwd eine spezielle FUnktionalitaet entwickelt haben, auf die ich hier nicht eingehen kann.
    So viel nur.. der URLstring wird dabei aus dem Browser entnommen, und der Browser veranlasst eine automatisierte Verbindung über user:passwd@hostname:port zu unserem Server aufzubauen.

    Da nun einige Kunden plötzlich den Firefoxbrowser verwenden, taucht jedes mal diese Sicherheitsabgrage auf, was natürlich fürchterlich nervt.

    Es geht aber auch ums Prinzip.
    Wie ich finde, sollte die RFC-Beschreibung zu HTTP ein Axiom sein

    Der nächste Browserentwickler fühlt sich dann berufen den Zugriff auf bestimmte Server mit einer Sicherheitsabfrage abzufangen, weil irgendwo bekannt geworden ist, dass auf dieser Website Spyprogramme geladen werden.
    Ich kann die sicherheitstechnsiche Argumentation überhaupt nicht verstehen.

    Jedem Menschen steht die RFC zur Verfügung.. und jeder kann sich demnach erkundigen, wie das Protokoll aufgebaut ist - und dann muss sich dieser Jeder eben die URL genau ansehen.

    Ihr schiesst einen guten Browser, wie der Firefox es ist, ab - wenn Ihr wie Microsoft versucht, jeden Idioten im Internet "abzufangen"

    Übrigens köntne ich mir von unserer Implementierung abgesehen noch weitere Anwendungen vorstellen, die nun durch diese Sicherheitsabfrage blockiert sind.
    Bspweise der Zugriff auf den Server via Email = URL
    Diese völligst legitime Anwendung wird für potentielle Kunden mit der erzwungenen Sicherheitsabfrage nicht mehr vertrauenswürdig.

    aaa

    Ja, also kannste dein Loginverfahren eh' knicken wenn du mehr als nur Firefox und noch nen paar andere unterstützen willst.

    Sicher kann man auch URLs auf anderem Wege vortäuschen, aber nach dem selben Prinzip kann man auch sagen "Wieso anschnallen, sterben werde ich sowieso und der Gurt nervt".
    Es verhindert nicht alle Gefahren, aber einige und deswegen ist die Abfrage mit drin. Im übrigen ist dieses Protokoll überhaupt nicht wichtig (bzw. nicht in diesem Teilpunkt).
    Davon abgesehen tust du so, als würde es falsch interpretiert werden, aber das ist nicht der Fall. Das Protokoll wird absolut richtig unterstützt und auch verarbeitet, es kommt lediglich die Abfrage dazu. Wenn die Abfrage bedeutet, dass das Protokoll falsch interpretiert wird, ist jede Webseite bei der ich die Schritfgröße ändere (per Scrollrad) auch falsch interpretiert oder wie? Bzw. wenn ich ne Abfrage einbaue "möchten sie http://www.url.de besuchen?" wird der Standard trotzdem richtig ausgeführt. Bei nem Klick auf nein, passiert eben nix, deswegen ist das Standard net verletzt.

    Du beschuldigst die MozFound das sie die Protokolle nicht richtig unterstützt und dass es deinen Usern viel Vertrauen erfordert jedes mal die Meldung wegzuklicken. Dabei vergisst du aber, dass diese Meldung ihre Berechtigung hat, sprich, dein Loginverfahren ist scheisse (ums mal auf den Puntk zu bringen). Das es von der Implementierung unsicher ist (wie z.B. die Umlautsache in den URLs) kann die Foundation nicht ändern, aber es obligt ihnen, Sicherheit zu gewähren. Und Sicherheit ist eben nunmal wichtiger, und da ist eine normale Abfrage die vielleicht für 0,001%% (Promille) aller Seiten angezeigt werden muss in Kauf zu nehmen, wenn dafür etliche Sicherheitsprobleme minimiert werden.

    Zu deiner URL: Nach dem Laden steht das da: http://www.sex.com/q.html?cn=germany
    Vielleicht ist es deswegen nicht vergleichbar, weil das fälschliche Prefix weg ist, bin mir nicht sicher ob man das auch dauerhaft vorne dran machen kann, oder nur beim Link selbst (also dasses dann net mehr inner URL steht).
    Weil bei obigen ist es ja möglich die URL immer so "falsch" zu lassen.