nicht angemeldet
mehrere passwort möglichkeiten unter htaccess
Hallo,
durch zufall hab ich rausgefunden,dass man beim apache unter htaccess geschützen bereichen,wenn
z.B. das passwort "hallowelt" wäre auch mit "hallowelt123" rein kommen würde.
Ist das normal?
Gruss vom Alain
--
...wenn das gehirn so einfach wäre,es zu vestehen,\nwären wir zu dumm um es zu begreifen...
...wenn das gehirn so einfach wäre,es zu vestehen,\nwären wir zu dumm um es zu begreifen...
-
Hi,
durch zufall hab ich rausgefunden,dass man beim apache unter htaccess geschützen bereichen,
recherchiere bitte im Archiv, warum zwischen HTTP-Authentication und der Konfigurationsdatei .htaccess kein Zusammenhang existiert und diese Bezeichnung daher falsch ist.
Ist das normal?
Ja. Ursache ist das Vorgehen des crypt-Algorithmus'.
Cheatah
--
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes -
Hallo,
durch zufall hab ich rausgefunden,dass man beim apache unter htaccess geschützen bereichen,wenn
z.B. das passwort "hallowelt" wäre auch mit "hallowelt123" rein kommen würde.Gewisse Unix-Systeme beachten nur die ersten 8 Zeichen
des Passworts.
Das erklaert wahrscheinlich Dein "Problem".In dem Fall duerfte es sinnlos (aber nicht problematisch) sein,
ein laengeres Passwort zu verwenden.HTH, mfg
Thomas -
Hi Alain,
durch zufall hab ich rausgefunden,dass man beim apache unter htaccess geschützen bereichen,wenn
z.B. das passwort "hallowelt" wäre auch mit "hallowelt123" rein kommen würde.
Ist das normal?welchen AuthType verwendest Du?
Ich habe gerade (mit Mozilla 1.4) "AuthType Digest" ausprobiert, und beim Username ebenso wie beim Passwort war das 9. Zeichen noch signifikant.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Moin,
welchen AuthType verwendest Du?
Ich habe gerade (mit Mozilla 1.4) "AuthType Digest" ausprobiert, und beim Username ebenso wie beim Passwort war das 9. Zeichen noch signifikant.
Vermutlich Basic. Da wird das Password nämlich teilweise mit der System-crypt()-Funktion verarztet bevor es serverseitig gespeichert wird. Und das Original-crypt() (also das mit dem vergewaltigten DES) beachtet nur die unteren 7 Bits der ersten 8 Zeichen des übergebenen Strings. (Das gibt dann nämlich genau die 56 Bit die man für einen DES-Schlüssel braucht.) Da man für Digest aber sowieso einen MD5-Hash über die Authentifizierungsdaten braucht speichert man da dann gleich diesen Hash[1]. Mit crypt() würde das gar nicht funktionieren.
[1] Ausser natürlich unsere Freunde aus Redmond. Wenn deren Server Digest Auth können soll muß er zwingend das Passwort im Klartext haben.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~ -
Moin!
durch zufall hab ich rausgefunden,dass man beim apache unter htaccess geschützen bereichen,wenn
z.B. das passwort "hallowelt" wäre auch mit "hallowelt123" rein kommen würde.
Ist das normal?welchen AuthType verwendest Du?
Der AuthType ist für die Passwortlänge IMHO irrelevant. Der Apache erkennt, ob die Passworte in der .htpasswd garnicht, mit crypt oder mit md5 verschlüsselt sind. Bei crypt-Passworten sind nur 8 Zeichen relevant, egal welcher AuthType. Bei MD5 sind mehr Zeichen möglich.
Ich habe gerade (mit Mozilla 1.4) "AuthType Digest" ausprobiert, und beim Username ebenso wie beim Passwort war das 9. Zeichen noch signifikant.
Der Username ist ja auch nicht verschlüsselt. Die Frage ist, ob du das Passwort im Klartext oder mit MD5 abgelegt hast.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
Moin,
Der AuthType ist für die Passwortlänge IMHO irrelevant. Der Apache erkennt, ob die Passworte in der .htpasswd garnicht, mit crypt oder mit md5 verschlüsselt sind. Bei crypt-Passworten sind nur 8 Zeichen relevant, egal welcher AuthType. Bei MD5 sind mehr Zeichen möglich.
Jein. Wie gesagt sind gecryptete Passwort und AuthType Digest nicht zueinander kompatibel. Dafür braucht man nämlich entweder Klartextpasswörter (wie die Leute aus Redmond) oder einen MD5-Hash[1] über Benutzername, Passwort und Realm.
[1] Ok, es gehen theoretisch auch andere Hashes, aber die muß dann der Browser unterstützen.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
-
-