Hi,

ich habe auf meinem Apache-Webserver ein paar Verzeichnisse passwortgeschützt, über den HTTP-Authentifizierungs-Mechanismus mit .htaccess und .htpasswd.

Um die Passwörter sicher zu gestalten habe ich natürlich auch Sonderzeichen drin und habe da u.a. das Fragezeichen verwendet. In einem bestimmten Passwort habe ich genaugenommen zwei Fragezeichen, wovon eines das letzte Zeichen im Passwort ist.

Durch einen Tippfehler ist mir jetzt etwas merkwürdiges aufgefallen: Und zwar habe ich versehentlich anstelle eines Fragezeichens (?) das Zeichen ¿ eingegeben, also ein spanisches Fragezeichen. ABER: Das Passwort wurde dennoch akzeptiert!
Danach habe ich etwas weiter herumprobiert. Dabei ist mir aufgefallen, dass das Fragezeichen inmitten des Passworts scheinbar sowohl ? und ¿ akzeptiert; beim Fragezeichen, welches am Ende des Strings steht kommt es jedoch noch extremer: Hier werden zusätzlich auch noch einige andere Zeichen, wie Ausrufezeichen, Doppelpunkt, Semikolon oder das umgekehrte Ausrufezeichen (¡) angenommen.

Interpretiert der Apache das Fragezeichen hier womöglich als ein Wildcard? Das wäre ja schon ein ziemlicher Verlust an Sicherheit für das Passwort. Oder ist das womöglich irgendein Designfehler im Mechanismus?