<p>Nezd, a http auth mindenkepp nyugos, ha nem https felett authentikalsz, mert gyak cleartext (oke, base64) megy a user/pass.</p>
<p>Ezen felul - amint az kiderult - a http auth-ra mindenki szeret ratelepedni, a load balancernek hasznalt webszerverektol kezdve a javaws-on at sokminden masig. </p>
<p>En oszinten szolva nem szeretem, mert ugy erzem: latszolagos vedelmet ad csupan, illetve mert iszonyatosan megkoti a kezem. Egy formos authentikacioba tudok gombot tenni az elfelejtett jelszo esetere, a kitiltott usernek mas hibat tudok visszaadni adott esetben, meg ugy az egesz sokkal kevesbe kotott.</p>
<p>Nagyon sokat szivok/szivtam mar http authtal, igy talan ertheto, hogy averzioim vannak vele szemben.</p>
<p>Garami Gábor<br>
<a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a><br>
Skype: hron84<br>
Tel: +36 20 235 9621</p>
<p>Sent from my T-Mobile G2<br>
Ezt a levelet telefonról adták fel, ékezethibákat tartalmazhat.</p>
<div class="gmail_quote">2013.02.05. 12:51, "Zoltán Bernát" <<a href="mailto:bernatzoltan@gmail.com">bernatzoltan@gmail.com</a>> ezt írta:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Gabor! Ez a megoldas nagyon santit. Sehogy nem lehet osszehozni e ket<br>
dolgot. (file path-t hasznalni passwordkent) Mi van akkor, ha egy<br>
usert ki akarok tiltani a rendszerbol. Azaz nem akarom, hogy<br>
hozzaferjen a tovabbiakban az adott konyvtarhoz. Megvaltoztatom a<br>
konyvtar nevet, hatha azt nem talalja ki? Es a tobbi usernek meg<br>
szolok egyenkent, hogy telepitsek ujra a desktop alkalmazasukat, es<br>
mindegyiknek meguzenem az uj konyvtar nevet is? Ez nagyon gaz, nem?<br>
<br>
Mi a bajod a http-basic auth-tal? Kifejtened nekem? Ez ha nem<br>
webbongeszo klienst es nem jnlp klienst hasznalok, ngyon is megfelelo<br>
nekem.<br>
<br>
Alapbol az en kliens alkalmazasom egy sima swinges desktop kod. Ott<br>
rontottam el a dolgot, hogy abban biztam, hogy siman tudom majd<br>
hasznalni a Werb Start rendszert. Hat nem tudom. :(<br>
<br>
Gábor Garami <<a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a>> írta (2013. február 5. 12:26):<br>
> Azert egy fajlnevet nem olyan trivialis kitalalni, mint egy jelszot,<br>
> mert az nem onkenyesen valasztott, hanem bizony generalt, tehat nem<br>
> lehet szotari hokuszpokusszal elni.<br>
><br>
> Viszont jelen esetben az egyik legjobb megoldas lenne. Persze, nem<br>
> ismerem a felhasznalasi korulmenyeket (intranet? hanyan hasznaljak?)<br>
> igy nehez okosakat mondani, de mivel jelenleg pont az a problemank,<br>
> hogy ha authentikaljuk a jart, akkor rossz lesz az authentikacio, igy<br>
> ez egyfajta megoldas lehet.<br>
><br>
> Egyebkent lehet ez ideiglenes megoldas is, amig peldaul egy, a HTTP<br>
> auth-tol kicsit ertelmesebb authentikaciot tesztek az alkalmazasba.<br>
><br>
> Garami Gábor<br>
> E-mail: <a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a><br>
> Tel: <a href="tel:%2B36%2020%20235%209621" value="+36202359621">+36 20 235 9621</a><br>
> MSN: <a href="mailto:hrgy@vipmail.hu">hrgy@vipmail.hu</a><br>
> Skype: hron84<br>
><br>
><br>
> 2013/2/5 Zoltán Bernát <<a href="mailto:bernatzoltan@gmail.com">bernatzoltan@gmail.com</a>>:<br>
>> Haaat!<br>
>> Azert ez nem igy mukodik. Nem ugy vedek egy file-t, hogy olyan helyre<br>
>> teszem, hogy "ne talaljak meg".<br>
>> Szoval ilyen dolog nem jatszik, hogy "eldugom a filerendszerben" es<br>
>> bizom benne, hogy nem talaljak meg a kenyes allomanyokat, azaz<br>
>> tulajdonkeppen a file eleresi utvonalat tekintem passwordnek. Ha azt<br>
>> valaki kitalalja, ove a jar.<br>
>> A file-okat passwordokkel kell vedeni. A jar file-jaimat egy<br>
>> passworddel vedett konyvtarba tettem. (a webkontener vedi, tehat<br>
>> nyilvan nem a linux)<br>
>><br>
>><br>
>> Gábor Garami <<a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a>> írta (2013. február 5. 10:48):<br>
>>> A dolog forditott: ha a jar nincs linkelve sehol, a JNLP nelkul ember<br>
>>> meg nem talalja.<br>
>>><br>
>>> Pont ezert kell a JNLP-t vedeni, mert az alapjan felderitheto az egesz<br>
>>> bagazs. A jar meg legyen eldugva a fajlrendszerben, es ne mutasson ra<br>
>>> link. Senki nem fogja tudni, hogy ott van.<br>
>>><br>
>>> Garami Gábor<br>
>>> E-mail: <a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a><br>
>>> Tel: <a href="tel:%2B36%2020%20235%209621" value="+36202359621">+36 20 235 9621</a><br>
>>> MSN: <a href="mailto:hrgy@vipmail.hu">hrgy@vipmail.hu</a><br>
>>> Skype: hron84<br>
>>><br>
>>><br>
>>> 2013/2/5 Zoltán Bernát <<a href="mailto:bernatzoltan@gmail.com">bernatzoltan@gmail.com</a>>:<br>
>>>> Dehat a jar file-okat kell vedeni nem a jnlp-t. A jnlp az csak egy kis<br>
>>>> xml file. A kutyat nem erdekli, ha olyanhoz is eljut, akinek nem<br>
>>>> szanom. A jar-okat meg nem adhatom authentikacio nelkul. Pont azokat<br>
>>>> akaorm vedeni.<br>
>>>> Egyebkent meg azert lett http basic, mert a form (tehat a wenkontener<br>
>>>> altal managelt form) autentikaciot nem sikerul osszehoznom a jnlp<br>
>>>> klienssel. Tehat a jnlp kliens tud mit kezdeni egy 401-es http<br>
>>>> koddal. (HTTP/1.1 401 Access Denied)<br>
>>>> Foldob a usernek egy ablakot, mint egy webbrowser.<br>
>>>> Viszont a form auth. ha jol emlekszem 301-es http koddal operal. Azaz<br>
>>>> atiranyitja a kerest. (arra login,jsp-re,amit beallitottam a<br>
>>>> telepitesleiroban) Ezt viszont a jnlp nem eszi meg. Tehat nyilvan nem<br>
>>>> tud mit kezdeni az atiranyitott oldaltol kapott html-lel.<br>
>>>> Nem fogja kitolteni a user helyett a form-ot. :)<br>
>>>><br>
>>>><br>
>>>> Gábor Garami <<a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a>> írta (2013. február 4. 23:32):<br>
>>>>> Egy kerdes: miert van a kliens letoltes HTTP auth-tal vedve?<br>
>>>>><br>
>>>>> Vedjuk csak a JNLP-t, de ne http authtal, hanem valami rendes kis<br>
>>>>> formmal, ami beauthentikal, majd felkinalja a jnlp linkjet, amit az<br>
>>>>> app maga szolgal ki (erre a reszere egy kis szervlet tokeletesen eleg<br>
>>>>> lehet), ezutan a jnlp a megfelelo jarokat mar authentikacio nelkul<br>
>>>>> vinne. Gondolom a JNLP-t mar nem toltogeti le allandoan a javaws, ha<br>
>>>>> megis, az nyug...<br>
>>>>><br>
>>>>> Garami Gábor<br>
>>>>> E-mail: <a href="mailto:gabor.garami@hron.me">gabor.garami@hron.me</a><br>
>>>>> Tel: <a href="tel:%2B36%2020%20235%209621" value="+36202359621">+36 20 235 9621</a><br>
>>>>> MSN: <a href="mailto:hrgy@vipmail.hu">hrgy@vipmail.hu</a><br>
>>>>> Skype: hron84<br>
>>>>><br>
>>>>><br>
>>>>> 2013/2/4 Zoltán Bernát <<a href="mailto:bernatzoltan@gmail.com">bernatzoltan@gmail.com</a>>:<br>
>>>>>> Tulajdonkeppen nem kell ketszer.<br>
>>>>>><br>
>>>>>> A felhasznalo, a kliensprogram telepitesekor csak egyszer kell, hogy<br>
>>>>>> megadja a jelszavat. A javaws lehetoseget ad arra, (mint egy web<br>
>>>>>> bongeszo,) hogy a usernek ne kelljen ezt a jelszot tobbet megadnia.<br>
>>>>>> Tehat ezt a jelszot tobbet nem keri a rendszer azt a javaws<br>
>>>>>> "megjegyzi", ha ezt a user igy akarja. A user kattint a desktopjan<br>
>>>>>> levo ikonon (amit a jnlp kliens telepitett) es mar indul is a<br>
>>>>>> programom. (nyilvan a jnlp kliens, a progi inditasa elott megnezi,<br>
>>>>>> hogy a szerveren levo jar file-ok last modified erteke ujabb-e, mint a<br>
>>>>>> kliensnel levokenek. Ehhez a persze el kell ernie a szerveren a vedett<br>
>>>>>> mappaban levo jar-okat, ehhez pedig folhasznalja a telepiteskor, elso<br>
>>>>>> alkalommal bekert jelszot)<br>
>>>>>><br>
>>>>>> Tehat elindul az en alkalmazasom, es csak az o szamara kell bepotyogni<br>
>>>>>> minden alkalommal a un/pw parost. Raadasul a usernek tobb accountja is<br>
>>>>>> lehet a serveren. (mint ahogyan van is) De hiaba adja meg pl. a<br>
>>>>>> masodik fiokjanak un/pw parosat, ha az alkalmazas installalasakor a<br>
>>>>>> jnlp-nek az elso fiokjanak az un/pw parosat adta meg, soha nem tudja<br>
>>>>>> mar elerni a masodik fiokjat.<br>
>>>>>><br>
>>>>>><br>
>>>>>><br>
>>>>>> Zsombor <<a href="mailto:gzsombor@gmail.com">gzsombor@gmail.com</a>> írta (2013. február 4. 21:31):<br>
>>>>>>> Hali !<br>
>>>>>>><br>
>>>>>>><br>
>>>>>>> Miért baj, hogy nem kell kétszer authentikálni? Felhasználóként<br>
>>>>>>> kifejezetten zavarna, ha kétszer kellene beírnom a jelszavamat ...<br>
>>>>>>><br>
>>>>>>><br>
>>>>>>> Zs<br>
>>>>>>><br>
>>>>>>> 2013/2/4 Zoltán Bernát <<a href="mailto:bernatzoltan@gmail.com">bernatzoltan@gmail.com</a>><br>
>>>>>>>><br>
>>>>>>>> Sziasztok!<br>
>>>>>>>><br>
>>>>>>>> Van egy vastagkliens alkalmazasom, ami web service-szel kommunikal egy<br>
>>>>>>>> glassfish szerverrel.<br>
>>>>>>>> Szeretnem megoldani a kliens kod Web Startos terjeszteset.<br>
>>>>>>>> A szerveren egy konyvtarban vannak a kliens kod jar faljai es a jnlp<br>
>>>>>>>> leiro file is.<br>
>>>>>>>> Ezt a konyvtarat a webkontener vedi, HTTP BASIC authentikacioval lehet<br>
>>>>>>>> hozzaferni. (persze https folott). Azaz nem akarom, hogy barki<br>
>>>>>>>> hozzaferjen a klien kodhoz.<br>
>>>>>>>> web.xml: <auth-method>BASIC</auth-method><br>
>>>>>>>> (probalkoztam a <auth-method>FORM</auth-method> megvalositassal is,<br>
>>>>>>>> sajnos sikertelenul)<br>
>>>>>>>><br>
>>>>>>>> Ilyenkor persze a jnlp kliens nem fer hozza kapasbol a jar file-okhoz,<br>
>>>>>>>> ezert foldob a usernek egy ablakot, ahol megadhatja a<br>
>>>>>>>> username/password parost.<br>
>>>>>>>> Ennek megadas utan lehuzza az alkalmazast, es mar fut is a kliens gepen.<br>
>>>>>>>><br>
>>>>>>>> A kliens programom is HTTP basic auth. segitsegevel eri el a web<br>
>>>>>>>> service-eket.<br>
>>>>>>>> Indulasakor bekeri a usertol a felhasznalo nevet es a jelszot.<br>
>>>>>>>> Ezutan minden serverhez inditott keres http headerjebe beirja az<br>
>>>>>>>> authotization elembe ezt a username/passsword ertekeket, es a<br>
>>>>>>>> webkontener ezen ertekekre autentikal. A problema ott van, hogy a<br>
>>>>>>>> user gepen futo jnlp klines(javaws.exe) a szepen felulirja a programom<br>
>>>>>>>> altal a http headerbe irt authotization ertekeket, azzal a<br>
>>>>>>>> username/password parossal, amit a user akkor adott meg neki, amikor a<br>
>>>>>>>> jnlp kliens kerte tole, hogy azzal lehuzhassa a jar file-okat a server<br>
>>>>>>>> vedett konyvtarabol.<br>
>>>>>>>><br>
>>>>>>>> Igy viszont ugyebar tok mindegy milyen un/pw parost ad meg a user, a<br>
>>>>>>>> jnlp kliens a sajat valtozatat kuldi a servernek. (persze ha a<br>
>>>>>>>> fejlesztokornyezetbol futtaom a kliens kodot, akkor minden megfeleloen<br>
>>>>>>>> mukodik)<br>
>>>>>>>><br>
>>>>>>>> Bogarasztam a JNLP API-t, de nem talaltam olyat, amivel ravehetnem a<br>
>>>>>>>> jnlp klienst, hogy ne irja bele minden keres fejebe a sajat<br>
>>>>>>>> authorization erteket.<br>
>>>>>>>> Van v.kinek otlete, hogy lehet ebbol kikeveredni?<br>
>>>>>>>> Koszi.<br>
>>>>>>>> _______________________________________________<br>
>>>>>>>> Javalist mailing list<br>
>>>>>>>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>>>>>>>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
>>>>>>><br>
>>>>>>><br>
>>>>>>><br>
>>>>>>> _______________________________________________<br>
>>>>>>> Javalist mailing list<br>
>>>>>>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>>>>>>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
>>>>>>><br>
>>>>>> _______________________________________________<br>
>>>>>> Javalist mailing list<br>
>>>>>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>>>>>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
>>>>> _______________________________________________<br>
>>>>> Javalist mailing list<br>
>>>>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>>>>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
>>>> _______________________________________________<br>
>>>> Javalist mailing list<br>
>>>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>>>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
>>> _______________________________________________<br>
>>> Javalist mailing list<br>
>>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
>> _______________________________________________<br>
>> Javalist mailing list<br>
>> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
>> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
> _______________________________________________<br>
> Javalist mailing list<br>
> <a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
> <a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
_______________________________________________<br>
Javalist mailing list<br>
<a href="mailto:Javalist@lists.javaforum.hu">Javalist@lists.javaforum.hu</a><br>
<a href="http://lists.javaforum.hu/mailman/listinfo/javalist" target="_blank">http://lists.javaforum.hu/mailman/listinfo/javalist</a><br>
</blockquote></div>