<html>

    <head>

      <base href="https://bugs.webkit.org/" />

    </head>

    <body><table border="1" cellspacing="0" cellpadding="8">

        <tr>

          <th>Bug ID</th>

          <td><a class="bz_bug_link 

          bz_status_NEW "

   title="NEW - Basic Authentication should use ISO-8859-1 encoding by default"

   href="https://bugs.webkit.org/show_bug.cgi?id=166985">166985</a>

          </td>

        </tr>

        <tr>

          <th>Summary</th>

          <td>Basic Authentication should use ISO-8859-1 encoding by default

          </td>

        </tr>

        <tr>

          <th>Classification</th>

          <td>Unclassified

          </td>

        </tr>

        <tr>

          <th>Product</th>

          <td>WebKit

          </td>

        </tr>

        <tr>

          <th>Version</th>

          <td>WebKit Nightly Build

          </td>

        </tr>

        <tr>

          <th>Hardware</th>

          <td>Unspecified

          </td>

        </tr>

        <tr>

          <th>OS</th>

          <td>Unspecified

          </td>

        </tr>

        <tr>

          <th>Status</th>

          <td>NEW

          </td>

        </tr>

        <tr>

          <th>Severity</th>

          <td>Normal

          </td>

        </tr>

        <tr>

          <th>Priority</th>

          <td>P2

          </td>

        </tr>

        <tr>

          <th>Component</th>

          <td>WebKit Misc.

          </td>

        </tr>

        <tr>

          <th>Assignee</th>

          <td>webkit-unassigned&#64;lists.webkit.org

          </td>

        </tr>

        <tr>

          <th>Reporter</th>

          <td>wilander&#64;apple.com

          </td>

        </tr></table>

      <p>

        <div>

        <pre>WebCore and WebKit2 currently use UTF-8 for cached Basic Authentication credentials. It should be ISO-8859-1 by default. At least CFNetwork uses ISO-8859-1 for the initial challenge response which means we currently first do ISO-8859-1 and then switch to UTF-8.

The spec says the following about default encoding (<a href="https://tools.ietf.org/html/rfc7617#appendix-B.3">https://tools.ietf.org/html/rfc7617#appendix-B.3</a>):

B.3.  Why not simply switch the default encoding to UTF-8?

   There are sites in use today that default to a local character

   encoding scheme, such as ISO-8859-1 ([ISO-8859-1]), and expect user

   agents to use that encoding.  Authentication on these sites will stop

   working if the user agent switches to a different encoding, such as

   UTF-8.

   Note that sites might even inspect the User-Agent header field

   ([RFC7231], Section 5.5.3) to decide which character encoding scheme

   to expect from the client.  Therefore, they might support UTF-8 for

   some user agents, but default to something else for others.  User

   agents in the latter group will have to continue to do what they do

   today until the majority of these servers have been upgraded to

   always use UTF-8.</pre>

        </div>

      </p>

      <hr>

      <span>You are receiving this mail because:</span>

      <ul>

          <li>You are the assignee for the bug.</li>

      </ul>

    </body>

</html>