gov.it - O.T.

Maurizio Codogno mau a BEATLES.CSELT.IT
Ven 30 Mar 2001 15:54:12 CEST


On Fri, 30 Mar 2001 11:51:19 +0100
Claudio Allocchio <Claudio.Allocchio a GARR.IT> wrote:

> la sintassi completa standard di una URL con autenticazione e'
>
>   prot://user.password@dominio/path/file.html

non esattamente. Ripigliando RFC 2396, trovo nella sezione 3.2.2 che

      server        = [ [ userinfo "@" ] hostport ]

      userinfo      = *( unreserved | escaped |
                         ";" | ":" | "&" | "=" | "+" | "$" | "," )

   Some URL schemes use the format "user:password" in the userinfo
   field. This practice is NOT RECOMMENDED, because the passing of
   authentication information in clear text (such as URI) has proven to
   be a security risk in almost every case where it has been used.

Ora, a parte il rischio della sicurezza, confermo che io ho sempre
usato nome:password. Ho controllato: netscape mi accetta anche nome.password,
con IE5 non sono riuscito a fare file://mau.password@beatles.cselt.it/
ne` col "." ne` col ":", e nemmeno mettendo i caratteri non alfanumerici
della mia password con l'escape %hh .

Vabbe`, oggi e` andata cosi`: almeno gli avvocati saranno contenti,
che per una volta si e` parlato di cose tecniche :-)

ciao, .mau.



Maggiori informazioni sulla lista ita-pe