Moin,

welchen AuthType verwendest Du?

Ich habe gerade (mit Mozilla 1.4) "AuthType Digest" ausprobiert, und beim Username ebenso wie beim Passwort war das 9. Zeichen noch signifikant.

Vermutlich Basic. Da wird das Password nämlich teilweise mit der System-crypt()-Funktion verarztet bevor es serverseitig gespeichert wird. Und das Original-crypt() (also das mit dem vergewaltigten DES) beachtet nur die unteren 7 Bits der ersten 8 Zeichen des übergebenen Strings. (Das gibt dann nämlich genau die 56 Bit die man für einen DES-Schlüssel braucht.) Da man für Digest aber sowieso einen MD5-Hash über die Authentifizierungsdaten braucht speichert man da dann gleich diesen Hash[1]. Mit crypt() würde das gar nicht funktionieren.

[1] Ausser natürlich unsere Freunde aus Redmond. Wenn deren Server Digest Auth können soll muß er zwingend das Passwort im Klartext haben.

Moin!

durch zufall hab ich rausgefunden,dass man beim apache unter htaccess geschützen bereichen,wenn
z.B. das passwort "hallowelt" wäre auch mit "hallowelt123" rein kommen würde.
Ist das normal?

welchen AuthType verwendest Du?

Der AuthType ist für die Passwortlänge IMHO irrelevant. Der Apache erkennt, ob die Passworte in der .htpasswd garnicht, mit crypt oder mit md5 verschlüsselt sind. Bei crypt-Passworten sind nur 8 Zeichen relevant, egal welcher AuthType. Bei MD5 sind mehr Zeichen möglich.

Ich habe gerade (mit Mozilla 1.4) "AuthType Digest" ausprobiert, und beim Username ebenso wie beim Passwort war das 9. Zeichen noch signifikant.

Der Username ist ja auch nicht verschlüsselt. Die Frage ist, ob du das Passwort im Klartext oder mit MD5 abgelegt hast.

- Sven Rautenberg