0 votos

Tim avatar

Safari no solicita la autenticación básica

Preguntado el 15 de Enero, 2018
Cuando se hizo la pregunta
5421 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Nuestro sitio web ofrece hipervínculos a programas de terceros que solicitan una autentificación básica. Anteriormente, un usuario hacía clic en el enlace, era llevado a la nueva URL y se mostraba una solicitud de autenticación. En la reciente actualización, Safari ya no solicita la autenticación, y los usuarios reciben inmediatamente un error 401 No autorizado. Si vuelves a cargar la página, te lo pedirá. Pegar la URL directamente en la barra de direcciones funciona correctamente.

Esto no se debe al almacenamiento en caché ni a las cookies. Puedo confirmar que funcionaba bien en MacOS Safari 11.0.1 y está roto en 11.0.2. Chrome no presenta este comportamiento. También he confirmado que el mismo problema afecta a iOS Safari, pero no he aislado las versiones.

Cargar una página de prueba desde mi disco duro local no da el mismo problema, pero cuando se aloja a través de IIS (en nuestro servidor web o en mi máquina de desarrollo) falla siempre. Una página de ejemplo está alojada aquí:

https://go.itelescope.net/auth_test.html

Enlaza con un servidor de autenticación de prueba aquí (este servidor de prueba no muestra un error 401, pero sí debería mostrar el diálogo de autenticación):

http://httpbin.org/basic-auth/user/passwd

¿Alguien ha visto esto antes, o ha encontrado una solución? También estoy reportando esto a Apple, pero como no soy un desarrollador de Apple espero que se pierda en el ruido.

Actualización

Un usuario en el Mensaje en el foro de las Comunidades Apple Hice ha dicho que esto es una decisión de diseño de Apple, pero todavía tengo que conseguir más información (o confirmación) sobre esto. Sin embargo las pruebas parecen corroborar su información: el error sólo se produce al enlazar desde un sitio HTTPS a un sitio HTTP.

StackExchange está alojado de forma segura, por lo que el enlace al sitio seguro funciona:
https ://httpbin.org/basic-auth/user/passwd
Mientras que el no seguro no lo hace:
http ://httpbin.org/basic-auth/user/passwd

También he informado de esto a través de la herramienta Apple Bug Reporter. Mi primer informe ha desaparecido misteriosamente. He vuelto a conectarme, pero también he oído muchos informes de errores que nunca han sido respondidos. Si alguien tiene una referencia fiable de que se trata de un cambio intencionado, sería estupendo. De lo contrario, sigo considerándolo un error.

Preguntado el 15 de Enero, 2018 por Tim

Respuestas

¿Demasiados anuncios?

1voto

Tim avatar
Tim Puntos 4953

Bueno, ya que no puedo encontrar un público respuesta, haré lo siguiente mejor. Esta es la respuesta que obtuve en un informe de error privado a través de Apple:

Este comportamiento es el esperado. Tras la corrección de otro error. No pedimos credenciales cuando se navega a una página web insegura que requiere autenticación desde una página web segura. Además, no solicitamos las credenciales cuando se carga un subrecurso inseguro (por ejemplo, una imagen) que requiere autenticación o un subrecurso seguro que requiere autenticación a través de una redirección insegura en una página web segura. El motivo de estas restricciones es evitar los ataques de phishing por parte de un atacante de red que podría haber sustituido el contenido de la respuesta HTTP del recurso inseguro por una redirección segura a su propio servidor que solicite las credenciales. Aunque la solicitud de autenticación muestra la URL a la que se accede, es posible que una persona no lea atentamente la solicitud o, lo que es más probable, un atacante puede comprar un nombre de dominio que podría hacer creer falsamente a una persona que la URL es legítima para que la persona envíe sus credenciales al atacante.

Sigo buscando una declaración pública de Apple que se pueda enlazar. Si alguien puede proporcionarlo, lo marcaré como la respuesta aceptada.

ACTUALIZACIÓN

Alguien con autoridad en Apple se puso en contacto conmigo sobre esto. Finalmente me vincularon con el documento oficial de lanzamiento que muestra el cambio de comportamiento:

Changed to only allow non-mixed content protected sub-resources to ask for credentials. https://webkit.org/blog/8035/release-notes-for-safari-technology-preview-44/ https://developer.apple.com/safari/technology-preview/release-notes/#r44

Hemos colaborado con Apple para solucionar la experiencia de usuario interrumpida por esta corrección de seguridad. Apple escuchó nuestros comentarios y arregló el diálogo de credenciales para los enlaces desde un recurso HTTPS a un recurso alojado en HTTP. Ahora funciona correctamente en Safari a partir de Mojave.

Respondido el 14 de Febrero, 2018 por Tim (4953 Puntos )

0voto

DevCompany avatar
DevCompany Puntos 131

También me gustaría recordar a los usuarios no habituales de MacOS que la Autenticación Básica se puede almacenar en el llavero, por lo que puede no ser obvio cuando se inicia la sesión automáticamente.

Respondido el 26 de Enero, 2020 por DevCompany (131 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X