Acceso no autorizado a una página: cuándo o si debe devolver el código de estado HTTP 401

1

Cuando un usuario solicita una página a la que no tiene acceso; en caso de que devuelva un código de estado HTTP 401 y una página para notificar al usuario.

En el pasado, he trabajado bajo la idea de que es una mala práctica, ya que al realizar una auditoría de seguridad de un sitio web, la información que se recopila como esta es una página real, simplemente no está autorizado para acceder a ella, es una información valiosa que podría ser explotada.

¿Cómo debe manejarse esto o es solo caso por caso?

    
pregunta Dale Snowdon 15.01.2016 - 17:21
fuente

1 respuesta

4

Parece que quiere decir 403 prohibido, no 401 no autorizado (ya que usted dice acceso autorizado, no autenticación). Esta fuente lo explica con mayor detalle: Daniel Irvine

  

401 No autorizado, el código de estado HTTP para errores de autenticación. Y eso es justo: es para la autenticación, no para la autorización. El servidor le dice a usted que recibe una respuesta al 401: "usted no está autenticado, ya sea que no esté autenticado en absoluto o que esté autenticado incorrectamente, pero por favor vuelva a autenticarse e intente nuevamente". cómo autenticar.

     

Recibir una respuesta 403 es lo que el servidor le dice: "Lo siento. Sé quién eres, creo que dices que eres, pero simplemente no tienes permiso para acceder a este recurso. Tal vez si le pregunta amablemente al administrador del sistema, obtendrá un permiso. Pero por favor, no me molestes de nuevo hasta que tu situación cambie ".

Nunca he oído que un código de estado 401/403 sea una mala práctica. En escenarios de no ataque, cumple la importante función de informar al usuario que necesita solicitar una actualización de privilegios o acudir a alguien con privilegios más altos para completar alguna tarea. En muchos de estos casos, un usuario necesita saber que el recurso existe.

Revela a los atacantes que existe un recurso, lo que podría aumentar la superficie de ataque de su aplicación. Sin embargo, si depende de que un atacante no sepa acerca de un recurso para mantenerlo seguro, probablemente debería mejorar las defensas a su alrededor. Las ventajas de uso superan las desventajas de seguridad leves.

    
respondido por el Buffalo5ix 15.01.2016 - 19:57
fuente

Lea otras preguntas en las etiquetas