On Tue, May 18, 2010 at 12:28:41PM +0400, C S wrote: > День добрый, > > squid работает в прозрачном режиме в связке c WCCP на cisco-1811. > Погуглил по поводу ntlm-авторизации - в некоторых источниках указано, что при > прозрачном проксировании авторизация невозможна и баста ..(( > причины никто не указал..(может плохо гуглил...)
Причины в области безопасности: злодейский сервер может выслать клиенту код 407 и выкатить Proxy-Authenticate с риалмом очень похожим на домашний риалм юзера, так что обманутый юзер отдаст свой нейм и домашний пароль. :) Чтобы не допустить этого, надо блокировать на прокси сквозные запросы авторизации. Но и это крайне рискованно: достаточно случайно отключить прозрачное проксирование, как юзеры ломанутся во внешний мир со своими паролями. Такой "случайностью" может стать привоз ноута из офиса домой: при выходе из хибернейта браузер не знает, что сообщать каждому серверу интернета офисный нейм и пароль хозяина больше не нужно. :))) В общем, нюансов там много, а шансы растерять пароли велики, поэтому производители браузеров дружно стали трактовать статус 407 в ответах на прямые запросы как generic error. Так оно и засохло. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100518170215.ga19...@protva.ru
