हमारी वेबसाइट तृतीय-पक्ष सॉफ़्टवेयर को हाइपरलिंक्स प्रदान करती है जो मूल प्रमाणीकरण का अनुरोध करती है। पहले एक उपयोगकर्ता लिंक पर क्लिक करेगा, उन्हें नए URL पर ले जाया जाएगा, और एक प्रमाणीकरण संकेत दिखाया जाएगा। हाल ही में अद्यतन सफारी पर अब प्रमाणीकरण के लिए संकेत नहीं देता है, और उपयोगकर्ताओं को तुरंत 401 अनधिकृत त्रुटि दी जाती है। यदि आप पृष्ठ को पुनः लोड करते हैं, तो यह संकेत देगा। एड्रेस बार में सीधे URL चिपकाना सही तरीके से काम करता है।

यह कैशिंग या कुकीज़ के कारण नहीं है। मैं यह पुष्टि कर सकता हूँ कि यह macOS Safari 11.0.1 में ठीक काम कर रहा था और 11.0.2 में टूट गया है। Chrome इस व्यवहार को प्रदर्शित नहीं करता है। मैंने iOS सफारी को प्रभावित करने वाले एक ही मुद्दे की पुष्टि की है, लेकिन मेरे पास अलग-अलग संस्करण नहीं हैं।

मेरे स्थानीय HDD से एक परीक्षण पृष्ठ लोड हो रहा है वही समस्या नहीं देता है, लेकिन जब IIS (हमारे वेब सर्वर या मेरे विकास मशीन पर) के माध्यम से होस्ट किया जाता है तो यह हर बार विफल हो जाता है। एक उदाहरण पृष्ठ यहां होस्ट किया गया है:

https://go.itelescope.net/auth_test.html

यह यहाँ एक परीक्षण प्रमाणीकरण सर्वर से जोड़ता है (यह परीक्षण सर्वर 401 त्रुटि प्रदर्शित नहीं करता है, लेकिन फिर भी इसे प्रमाणीकरण संवाद दिखाना चाहिए):

http://httpbin.org/basic-auth/user/passwd

क्या किसी ने इससे पहले देखा है, या एक समाधान मिला है? मैं इसे Apple को भी रिपोर्ट कर रहा हूं, लेकिन चूंकि मैं एक Apple डेवलपर नहीं हूं इसलिए मुझे उम्मीद है कि यह शोर में खो जाएगा।

अपडेट करें

Apple कम्युनिटी फ़ोरम के पोस्ट पोस्ट पर एक उपयोगकर्ता ने कहा है कि यह Apple का डिज़ाइन निर्णय है, लेकिन मुझे अभी तक इस पर कोई और जानकारी (या पुष्टि) नहीं मिली है। हालाँकि सबूत उसकी जानकारी को पुष्ट करते हैं: त्रुटि केवल तब होती है जब किसी HTTPS साइट से HTTP साइट से लिंक किया जाता है।

StackExchange को सुरक्षित रूप से होस्ट किया गया है, इसलिए सुरक्षित साइट के कार्यों से लिंक करना:
https : //httpbin.org/basic-auth/user/passwd
जबकि गैर-सुरक्षित नहीं है:
http : //httpbin.org/basic-auth/user/ पासवर्ड

मैंने Apple बग रिपोर्टर टूल के माध्यम से भी इसकी सूचना दी है। मेरी पहली रिपोर्ट रहस्यमय तरीके से गायब हो गई है। मैंने फिर से लॉग इन किया है, लेकिन यह भी सुना है कि बग रिपोर्ट के कई खातों का कभी जवाब नहीं दिया गया। अगर यहां किसी के पास एक विश्वसनीय संदर्भ है कि यह एक जानबूझकर परिवर्तन है, तो यह बहुत अच्छा होगा। अन्यथा मैं अभी भी इसे एक बग मानता हूं।

खैर जब से मुझे एक निश्चित सार्वजनिक जवाब नहीं मिला , मैं अगली सबसे अच्छी बात करूंगा। यह मुझे Apple के माध्यम से एक निजी बग रिपोर्ट पर मिली प्रतिक्रिया है:

यह व्यवहार अपेक्षित है। दूसरे बग के प्रति सुधार के बाद। जब भी एक सुरक्षित वेब पेज से प्रमाणीकरण की आवश्यकता होती है तो असुरक्षित वेब पेज पर नेविगेट करते समय हम क्रेडेंशियल के लिए संकेत नहीं देते हैं। इसके अलावा, हम असुरक्षित उप-स्रोत (जैसे, एक छवि) को लोड करते समय क्रेडेंशियल के लिए संकेत नहीं देते हैं, जिसके लिए प्रमाणीकरण की आवश्यकता होती है या सुरक्षित वेब पेज पर असुरक्षित पुनर्निर्देशन के माध्यम से प्रमाणीकरण की आवश्यकता होती है। इन प्रतिबंधों की प्रेरणा नेटवर्किंग हमलावर द्वारा फ़िशिंग हमलों को रोकना है, जो असुरक्षित संसाधन HTTP सामग्री की सामग्री को अपने स्वयं के सर्वर के लिए एक सुरक्षित पुनर्निर्देशन के साथ बदल सकते हैं जो क्रेडेंशियल के लिए संकेत देता है। यद्यपि प्रमाणीकरण प्रॉम्प्ट URL को एक्सेस किए जाने को दिखाता है, हो सकता है कि कोई व्यक्ति प्रांप्ट को निकट से न पढ़े या, अधिक संभावना हो,

मैं अभी भी Apple के एक सार्वजनिक बयान की तलाश कर रहा हूँ जिसे इससे जोड़ा जा सकता है। यदि कोई व्यक्ति यह प्रदान कर सकता है कि मैं स्वीकार किए गए उत्तर के रूप में चिह्नित करूंगा।

अपडेट करें

इस बारे में Apple के अधिकार वाले किसी व्यक्ति ने मुझसे संपर्क किया। उन्होंने अंततः बदले हुए व्यवहार को दिखाते हुए मुझे आधिकारिक रिलीज़ दस्तावेज़ से जोड़ा:

Changed to only allow non-mixed content protected sub-resources to ask for credentials. https://webkit.org/blog/8035/release-notes-for-safari-technology-preview-44/ https://developer.apple.com/safari/technology-preview/release-notease/#r44

हमने Apple के साथ इस सिक्योरिटी फिक्स के कारण टूटे हुए उपयोगकर्ता अनुभव को संबोधित करने के लिए काम किया। Apple ने हमारी प्रतिक्रिया सुनी और HTTPS संसाधन से HTTP होस्टेड संसाधन के लिंक के लिए क्रेडेंशियल संवाद तय किया। यह सही ढंग से अब Mojave पर सफारी में काम करता है।