NTLM-авторизация,браузеры и негодяи…

1.0Чудо{вищные} заметкиhttps://miracle.rpz.nameMiRacLehttps://miracle.rpz.name/author/miracle/NTLM-авторизация,браузеры и негодяи…Нарисовалась интересная задачка - авторизовывать пользователя через AD. Собственно задачка для меня не нова - в нескольких сервисах я её уже реализовал - через <a title="функции LDAP в PHP" href="http://php.net/ldap">LDAP</a>, на одном, доступ к которому есть из "внешнего мира", - через <a title="pluggable authentication module for Apache" href="http://pam.sourceforge.net/mod_auth_pam/">mod_auth_pam</a> (<a href="http://www.samba.org/samba/docs/man/manpages-3/winbindd.8.html">winbindd</a> на сервере установлен, настроен и работает как часы "Слава") - т.е. как бы задачка - казалось бы вовсе не задачка.... Но! Но хочется людЯм чтоб "не выскакивало это окошечко"... Обратили внимание на SharePoint сервер, который (якобы) не спрашивает логин-пароль - объясняю - на самом деле спрашивает, просто этого не видно - говорят - ну и сделай так же - ну и делаю так же... НО! но "без проблем" это делать умеет только IE (Mozilla "в принципе" тоже умеет), а как же <a href="http://opera.com">Ёпера</a>, она же, убогая, не умеет ВАЩЕ NTLM ? <strike>Забить на Оперу</strike> Допустим что Оперой не пользуются... а в принципе.. безопастна ли NTLM-авторизация? посмотрел на <a href="http://ng.secusquad.com/wiki/index.php/PHP_NTLM_GET_LOGIN">PHP NTLM GET LOGIN</a>... судя по реализации можно смело предположить, что потенциальный <strong>негодяй</strong> может "завернуть" в <a href="http://php.net/base64_encode">base64_encode</a> любой логин... (аналогичная история получится с <a href="http://modntlm.sourceforge.net/">mod_ntlm</a> - первые версии своих "сервисов" делал через него, но после перестановки системы на сервере, он начал "конфликтовать" с разными модулями апача и мне надоело его править)... Пока оставляю всё как есть - "клиент: форма -> клиент: des_encrypt ->сервер: ldap_connect->сервер: ldap_bind-> сервер: return (true || false) " <blockquote>В такой схеме (на мой взгляд) безопасно передаются данные и безопасно(а главное "честно") проверяется пара логин-пароль согласно всем политикам AD - всякие блокировки по времени, expires и т.д. тогда как при NTLM можно с лёгкостью обойти все эти механизмы</blockquote> А собственно вопрос - а верно ли я понял, что NTLM - "АЦтой" ? А есть ли способ использовать NTLM прозрачно для клиента и безопасно для сервера?rich