HTTP-Fehler 401 Unauthorized (Nicht autorisiert)

Einleitung

Der Webserver (auf dem die Website läuft) denkt, dass der vom Client (z.B. Ihr Webbrowser oder unser CheckUpDown-Roboter) gesendete Datenstrom korrekt war, aber der Zugriff auf die URL-Ressource eine Benutzerauthentifizierung verlangt, die 1) bisher nicht zugewiesen wurde oder 2) die zugewiesen wurde, aber die Legitimationsprüfungen nicht bestanden hat. Dies ist allgemein bekannt als "HTTP Basic Authentication". Die tatsächliche vom Client erwartete Authentifizierungsanfrage ist im HTTP-Protokoll als WWW-Authenticate-Header-Feld definiert.

Im Allgemeinen bedeutet diese Fehlermeldung, dass Sie sich zuerst irgendwo einloggen müssen (eine gültige Benutzer-ID und ein Passwort eingeben). Wenn Sie diese eingegeben haben und sofort einen 401-Fehler sehen, bedeutet dies, dass entweder Ihre Benutzer-Id oder Ihr Passwort, oder beide, aus irgendeinem Grund ungültig waren (falsche Eingabe, Benutzer-ID gesperrt usw.).

401-Fehler im HTTP-Ablauf

Jeder Client (z.B. Ihr Webbrowser oder unser CheckUpDown-Roboter) durchläuft den folgenden Ablauf:

• Eine IP-Adresse aus dem IP-Namen der Site zuweisen (die URL der Site ohne das vorangestellte 'http://'). Dieses Nachschlagen (Umwandlung des IP-Namens in die IP-Adresse) wird durch Domain-Namen-Server (DNS) geleistet.
• Öffnen einer IP-Socket-Verbindung zu dieser IP-Adresse.
• Schreiben eines HTTP-Datenstroms über diesen Socket.
• Rückempfangen eines HTTP-Datenstroms vom Webserver als Antwort. Dieser Datenstrom enthält Statuscodes, deren Werte durch das HTTP-Protokoll bestimmt werden. Parsen dieses Datenstroms auf Statuscodes und andere nützliche Informationen.

Dieser Fehler tritt im obigen letzten Schritt auf, wenn der Client einen HTTP-Statuscode empfängt, den er als '401' erkennt.

Beheben von 401-Fehlern - allgemein

Jeder Webserver verwaltet Benutzerauthentifizierungen auf seine eigene Weise. Üblicherwiese entscheidet ein Sicherheitsbeautragter (z.B. ein Webmaster) der Site, welchen Benutzern Zugriff auf die URL gewährt wird. Diese Person verwendet dann die Webserver-Software, um diese Benutzer und deren Passwörter einzustellen. Wenn Sie nun Zugriff auf die URL haben müssen (oder Sie Ihre Benutzer-ID oder Ihr Passwort vergessen haben), kann Ihnen nur der Sicherheitsbeautragte dieser Site helfen. Wenden Sie sich in Sicherheitsfragen direkt an diese Personen.

Wenn Sie denken, dass die URL der Webseite für jedermann im Internet zugänglich sein *muss*, dann bedeutet eine 401-Meldung ein ernsteres Problem. Das Erste was Sie machen können, ist Ihre URL mittels eines Webbrowsers zu überprüfen. Dieser Browser sollte auf einem Computer laufen, an dem Sie sich vorher noch nie identifiziert haben und Sie sollten Authentifizierungen (Passwörter usw.) vermeiden, die Sie bereits vorher benutzt haben. Idealerweise sollte dies Alles über eine völlig andere Internetverbindung als alle anderen, die Sie vorher benutzt haben, erfolgen (z.B. ein anderer Telefonanschluss). Kurz gesagt, Sie versuchen die gleiche Reaktion zu erhalten, die ein völlig Fremder erhalten würde, wenn er im Internet zu dieser Webseite surfen würde.

Wenn diese Art der Browserprüfung keine Berechtigungsprobleme ergibt, kann es sein, dass der Webserver (oder das umgebende System) so konfiguriert wurden, dass sie bestimmte Muster von HTTP-Verkehr nicht zulassen. Mit anderen Worten, die HTTP-Kommunikation von einem bekannten Webbrowser ist erlaubt, aber die automatisierte Kommunikation von anderen Systemen wird mit einem 401-Fehlercode zurückgewiesen. Dies ist ungewöhnlich, kann aber ein Anzeichen für eine sehr defensive Sicherheitspolitik rund um den Webserver sein.

Beheben von 401-Fehlern - CheckUpDown

Wenn Sie Ihren CheckUpDown-Account einrichten, können Sie optional zwei Dinge eingeben 2. Benutzer-ID für Website und 3. Passwort für Website. Sie sollten diese nur eingeben, wenn Ihre Site HTTP Basic Authentication verwendet. Wenn Sie diese eingeben, verwendet der CheckUpDown-Roboter diese immer. Dies führt zu einem 401-Fehler, wenn Ihre Site tatsächlich nicht diese Authentifizierung verwendet. Wenn Sie umgekehrt diese nicht eingeben und Ihre Site nicht diese Authentifizierung verwendet, erhalten Sie auch einen 401-Fehler.

Wenn aber Ihre URL für alle Besucher offen ist, sollte eine 401-Meldung nicht erscheinen. Da dieser Fehler ein grundlegendes Berechtigungsproblem darstellt, können wir dieses nur durch Besprechungen mit dem für die Sicherheit auf und um Ihre Website verantwortlichen Personal lösen. Diese Diskussionen können unglücklicherweise einige Zeit in Anspruch nehmen, können aber oft einvernehmlich gelöst werden. Sie können dabei helfen, indem Sie unseren Service bei Ihrem Sicherheitspersonal befürworten. Bitte wenden Sie sich (am besten per E-Mail) an uns, wenn Sie ständig 401-Fehler sehen, so dass wir den besten Weg zu deren Lösung abstimmen können.