> было бы cgi - было бы очень, очень непросто умудриться сделать так,
> что сам скрипт требует авторизацию, а тот же скрипт но с параметрами - нет.

Авторизацию клеят на сопли и скотч в меру своей дурости. Это даже не HTTP BASIC AUTH чаще всего, он недостаточно гламурен. Поэтому теоретически юзер идет на стартовую, вводит там, там проверяют. И если ок - как-то сигналят остальному что авторизация прошла. Но это теоретически.

Реально проверки сильно местами и там может быть что угодно, а о том что некий внутренний URL можно позвать и минуя auth page и морду кодеры за плошку риса часто не задумываются. Ну и прочие использования шелла и вызова внешних программ/скриптов оптом, при полном отсутствии какой там еще валидации. CGI интересен только своей примитивностью, гамнокодить меньше и можно половину прям на кривеньких гамноскриптах донавесить быро-быро.

Настраивать всякие там права и что шарится а что нет? Не слышали! Поэтому на старом длинке вообще не зная пароля можно было конфиг скачать. А теперь, зная пароль, можно и как белый человек зайти уже.

> То есть как раз сделали бы все максимально дубово и просто - все бы работало.

Да вот как оказалось - нифига.

> А тут явно "приложение" (а что вы думаете, в китае до сих
> пор щи лаптем хлебают? они тоже любят все модное-современное), которое отдельно
> парсит url (который для него просто символьная строка), отдельно думает "а
> не спросить ли пароль".

Судя по проблеме - "приложение" вызывало что-то через шелл в духе CGI и дало маху. Очень в духе шельно-CGIшной лажи с эскейпингом. Вот именно чистокровной вебапликухе - даром не упало шелл лишний раз дергать, равно как и эскейпинг их пробирает не такой. А это параметры шелл-интерпретеру надули.

> php не умеет в веб без сервера, значит, остаются пихон, руби и,
> вполне возможно, голый си с какой-нибудь на помойке найденой http-либой. Но
> я ставлю на пихон ;-)

А я ставлю на кривой шелскрипт вызываемый в стиле CGI или около того. У пихона извините стандартные либы больше чем вся флеха у девайса может оказаться, и вебня на нем сожрет больше RAM чем в девайсе запаяно. А шел что, он в бизибоксе встроен. Поскольку он не среда для вебапликух, проще всего ошметки на нем вызывать как CGI или типа того.

А сделать пагу которая аяксом перекидывается с чем-то-там... она и с CGI может им перекидываться даже. Это будет угробищно, тормозно и лагуче, но как-то работать будет, юзер может даже и не заметить особо из-за асинхронности, а поскольку он там один, то что оно там половину времени форкало процесс никто особо и не заметит. Это актуально для тех кто что-то такое потом в web вывешивает для IOT и проч, у них на 5-м по счете юзере память от кучи форков таки наконец заканчивается. Но для морды модема это менее актуально, т.к. там обычно 1 юзер и тот сильно иногда.