При работающей авторизации пользователя использующего HC в локальной сети например, его регистрационные данные зачем-то отправляются сайту с которого запрашиваются данные в запросе, зачем это сделано? зачем сайту передавать параметр Proxy-Authorization когда эта строка должна вырезаться прокси сервером а дальше него распространятся не должна т.к. по ней достаточно легко можно определить пароль пользователя заведенного в HC или использовать этот код напрямую в самописной утилите чтобы использовать HC за счет этого пользователя.
вот лог запроса с сайта куда я захожу при помощи HC:
> GET /images1.html HTTP/1.1
> Accept: image/png, image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
> Accept-Language: en
> Host: 192.168.0.1
> User-Agent: Mozilla/4.08 (PDA; NF32PPC3AR/1.01) NetFront/3.2
> Referer:
http://192.168.0.1/> Proxy-Authorization: Basic QWxleGV5OjU1MTc4ODI1
> Pragma: no-cache
> Cache-Control: no-cache
> Connection: Keep-Alive
т.о. кинув коллегам по работе ссылку на свой сайт соберешь все их пароли ... а что с ними потом можно будет сделать, остается на совести собирающего.
Исправлено с версии HC 1.0 RC1 1.0.0.64...