L’authentification gérée coté serveur web est très intéressante à plusieurs égards. Son principal intérêt est d’être indépendante de toute application tierce, ce qui réduit le nombre de failles. Il est malheureusement possible que le navigateur ne se comporte pas bien, et on se retrouve alors avec des demandes d’authentification à répétitions.
Cet article traite de deux types d’authentification HTTP que sont basic et digest. Cela est normalisé dans la RFC 2617. Pour apache, les modules concernés sont respectivement auth_basic et auth_digest.
Voici à quoi ressemble une boite authentification de type digest.
Demande d’authentification vue par Chrome
Demande d’authentification vue par Firefox
Si, malgré la saisie de l’identifiant et du mot de passe correct, la boite de dialogue continue d’apparaître, alors il est recommandé de supprimer du navigateur toute mémorisation de mot de passe pour le site internet correspondant.
- Supprimer les mots de passe enregistrés sur Chrome
- Supprimer les mots de passe enregistrés sur Firefox
En effet, le risque est que le navigateur continue d’envoyer au serveur des informations d’authentification erronées ou périmées. Cela peut même apparaître à l’intérieur de logiciels moins évidents comme la messagerie Outlook ou du tableur Excel, à vrai dire dès qu’un client HTTP cherche à accéder à une ressource protégée. On peut alors se demander en quoi il est pertinent que le tableur Excel accède à des pages web…
