home *** CD-ROM | disk | FTP | other *** search
/ InfoMagic Internet Tools 1995 April / Internet Tools.iso / infoserv / www / cern / dev / www-talk.9301-9306.Z / www-talk.9301-9306 / text0826.txt < prev    next >
Encoding:
Text File  |  1995-04-24  |  2.0 KB  |  59 lines
  1. Here at Hewlett Packard, we need a way of preventing unauthorised
  2. access to information, but want to take advantage of the WWW for
  3. sharing information with colleagues.
  4.  
  5. Please give me your comments on our proposed solution.
  6.  
  7. I am working on a solution that makes use of UNIX's established
  8. security mechanisms and making it easy for non-technical types
  9. to manage things for themselves without the need to call out
  10. the support staff.
  11.  
  12. Each web server can be run in two modes depending on a command line switch:
  13.  
  14.   Mode 1
  15.   ======
  16.  
  17.     a)  all world readable files are accessible
  18.     b)  systems in the .rhosts file are treated appropriately
  19.     c)  all other files require a user name & password
  20.  
  21.   Mode 2
  22.   ======
  23.  
  24.     a)  systems in the .rhosts file are treated appropriately
  25.     b)  otherwise all files 
  26.  
  27. The Authorisation: field in HTTP2 is used to carry the username
  28. and password, e.g.
  29.  
  30.     Authorisation: user fred:secret
  31.  
  32. Where "user" identifies the following as being username:password
  33. which must refer to a valid user account on the host system. This
  34. approach avoids the need for people to manage special configuration files.
  35. We may also add a file similar to the .rhost file but specific to the web.
  36.  
  37. The browser keeps track of which system/protocol needs what user name/
  38. password, and so only asks you once for each system per session. I am
  39. also looking at using X11's interprocess communication facilities so
  40. that multiple concurrent invokations of the browser can share the
  41. same info to further minimise the pain.
  42.  
  43. The same approach is also used for our gateway from our closed subnet
  44. to the rest of the world. This gateway relays tcp connections, but doesn't
  45. accept requests to connect from the outside. I hence have to use ftp in
  46. the passive mode.
  47.  
  48. In the future we will investigate more flexible approaches such as Kerberos
  49. that avoid sending passwords in clear (unlike most UNIX apps such as ftp,
  50. rlogin etc.).
  51.  
  52. Dave Raggett
  53.  
  54. Hewlett Packard Labs, Bristol, UK
  55.  
  56.     +44 272 228046
  57.     dsr@hplb.hpl.hp.com
  58.  
  59.