{"id":553,"date":"2014-06-03T16:11:03","date_gmt":"2014-06-03T14:11:03","guid":{"rendered":"https:\/\/www.krombusch.de\/?p=553"},"modified":"2021-11-01T12:36:52","modified_gmt":"2021-11-01T11:36:52","slug":"http-authentifizierung-mit-win7-und-ie11","status":"publish","type":"post","link":"https:\/\/www.krombusch.de\/?p=553","title":{"rendered":"HTTP-Authentifizierung mit Win7 und IE11"},"content":{"rendered":"
\"proxyauth4\"<\/a>
kalt<\/figcaption><\/figure>\n
\"proxyauth5\"<\/a>
w\u00e4rmer<\/figcaption><\/figure>\n

In Unternehmensnetzwerken h\u00e4ngen Clientcomputern selten direkt am Internet. Meist leitet der Admin den Traffic vom Browser zentral \u00fcber einen Proxyserver, der beliebte Webseiten zwischenspeichert, Viren herausfischt oder youtube sperrt. Soweit so gut.
\nNun d\u00fcrfen manche Benutzer weniger als andere und gut getarnte Klick-Mich-Werbung darf noch weniger. Deshalb setzt der Admin nach dem \u00d6ffnen des Browsers und vor den ersten Internetzugriff eine Benutzeranmeldung.<\/p>\n


\nDie hier einzugebenden Login-Daten sind solange g\u00fcltig, bis der Benutzer den Browser wieder schlie\u00dft (\u201eSession\u201c). Aus Sicherheitsgr\u00fcnden sind Login-Daten selten identisch mit der Windows-\/Mac-\/Linux-Anmeldung am Betriebssystem (\u201eSingle-Sign-On\u201c).
\nSomit muss der Proxy die Login-Daten entgegen nehmen, selbst gegen eine User-Datenbank pr\u00fcfen oder an einen weiteren Mechanismus wie bsp. einen RADIUS-Server weitergeben.
\nF\u00fcr die eigentliche \u00dcbergabe der Anmeldedaten per Browser an den Proxy braucht es einen (HTTP)-Authentifizierungsmechanismus. Aus historischen\/kompatiblen Gr\u00fcnden trifft man oft noch die BASIC\/Digest-Authentifizierung an, wobei Benutzername und Passwort in base64-Codierung (und somit relativ unverschl\u00fcsselt) \u00fcbertragen werden. Wobei wir uns immer noch im Intranet, maximal in der DMZ, befinden.<\/p>\n

Leider hat es Microsoft mit WinINET seit Windows 7 etwas zu gut gemeint, was das Zwischenspeichern solcher Informationen angeht. (Gemeint sind nicht die Passw\u00f6rter in Webformularen, deren Speicherung \u00fcber eine Gruppenrichtlinie verhindert werden kann).<\/p>\n

Das f\u00fchrt zu folgendem absurden Verhalten. Nehme wir als Beispiel einen Proxyserver mit einer beliebigen privaten IP-Adresse und einen Benutzer \u201eMeyer\u201c.\"proxyauth1\"<\/p>\n