13 Oct
2008
13 Oct
'08
5:04 p.m.
On Monday 13 October 2008 12:46:23 Iñaki Baz Castillo wrote:
Esto último es negativo pues cuanto más se estrese al
servidor de
autenticación (LDAP o lo que sea) peor. Yo creo que en un escenario
así (donde la autenticación toma tiempo) sí que puede ser bueno crear
la transacción justo antes del proceso de autenticación (eso sí, sólo
para requests que contengan la cabecera "(Proxy-)Authorization".
Es que aún estoy intentando averiguar quien demonios puede tener un escenario
en producción donde la respuesta del sistema de autentitación tarde tanto que
provoque una retrasmisión del request por parte del UAC.
Otra cosa distinta es que por temas de red, haya retrasmisión, pero entonces
el proxy ya tendrá los datos de la autenticación y por lo lo tanto, dará
igual.
Yo, personalmente, no lo veo util Iñaki, de hecho veo muchiiiiiiiiiisimo más
probable meterse en berengenales del DoS con el escenario que Bogan comenta.
A parte de que ¿en que otras situaciones puede ser útil?, no veo muchos
escenarios en los que pueda ser útil esa técnica anti-RFC
--
Raúl Alexis Betancor Santana
Dimensión Virtual S.L.